Разработчики Google выпустили декабрьское обновление для операционной системы Android, в общей сложности устранив 107 уязвимостей. В их числе были две проблемы нулевого дня, которые уже активно эксплуатировались злоумышленниками в целевых атаках.
0-day-уязвимости получили идентификаторы CVE-2025-48633 и CVE-2025-48572. Первая позволяет получить несанкционированный доступ к конфиденциальной информации, а вторая дает возможность повысить привилегии в системе. Баги затрагивают широкий спектр версий Android, начиная с версии 13 и заканчивая версией 16.
В официальном бюллетене безопасности Google подтвердила, что обе уязвимости уже использовались в ограниченных целенаправленных атаках. Технические детали эксплуатации багов компания традиционно не раскрывает, чтобы не облегчить задачу другим злоумышленникам. Однако в прошлом уязвимости такого типа обычно использовались в атаках коммерческой спайвари, а также применялись «правительственными» хакерами и спецслужбами.
Также следует отметить, что наиболее опасной из исправленных в этом месяце проблем стала CVE-2025-48631, обнаруженная в компоненте Android Framework и способная вызвать отказ в обслуживании.
Декабрьское обновление, как обычно, разделено на два уровня: первый уровень (2025-12-01) закрывает 51 уязвимость в компонентах Android Framework и системных модулях; второй уровень (2025-12-05) устраняет 56 проблем в ядре ОС и сторонних компонентах с закрытым исходным кодом.
Здесь отдельного внимания заслуживают четыре критических уязвимости, связанные с повышением привилегий и найденные в подсистемах ядра Pkvm и UOMMU, а также два критических бага в устройств на базе Qualcomm (CVE-2025-47319 и CVE-2025-47372). Подробности об этих и других исправлениях для закрытых компонентов доступны в отдельных бюллетенях Qualcomm и MediaTek.
