Google v pondelok (1.12.2025) vydal mesačné bezpečnostné aktualizácie pre operačný systém Android, vrátane dvoch zraniteľností, o ktorých uviedol, že boli zneužívané v praxi.
Záplata rieši celkovo 107 bezpečnostných chýb naprieč rôznymi komponentmi, vrátane Frameworku, Systému, Jadra, ako aj komponentov od spoločností Arm, Imagination Technologies, MediaTek, Qualcomm a Unison.
Dve vysoko závažné nedostatky, ktoré boli zneužité, sú uvedené nižšie:
- CVE-2025-48633 – zraniteľnosť umožňujúca prezradenie informácií vo Frameworku
- CVE-2025-48572 – zraniteľnosť umožňujúca zvýšenie práv vo Frameworku
Ako je zvykom, Google nezverejnil žiadne ďalšie podrobnosti o povahe útokov, ktoré tieto chyby zneužívajú, či boli spojené dokopy alebo použité samostatne, ani o rozsahu týchto útokov. Nie je známe, kto za útokmi stojí.
Technologický gigant však vo svojom odporúčaní priznal, že existujú náznaky, že môžu byť „predmetom obmedzeného, cieleného zneužívania“.
Google v rámci decembrových aktualizácií taktiež opravil kritickú zraniteľnosť v komponente Framework (CVE-2025-48631), ktorá môže viesť k vzdialenému odmietnutiu služby (DoS) bez potreby ďalších opráv na vykonanie kódu.
Bezpečnostný bulletin pre december obsahuje dve úrovne záplat, konkrétne 2025-12-01 a 2025-12-05, ktoré dávajú výrobcom zariadení flexibilitu rýchlejšie riešiť časť zraniteľností spoločných pre všetky Android zariadenia. Používateľom sa odporúča aktualizovať svoje zariadenia na najnovšiu úroveň záplat hneď, ako sú vydané.
Tento vývoj prichádza tri mesiace po tom, čo spoločnosť vydala opravy na odstránenie dvoch aktívne zneužívaných chýb v Linux jadre (CVE-2025-38352, CVSS skóre: 7.4) a v Android Runtime (CVE-2025-48543, CVSS skóre: 7.4), ktoré mohli viesť k lokálnemu zvýšeniu opráv.
Dňa 2. decembra 2025 americká Agentúra pre kybernetickú bezpečnosť a infraštruktúru (CISA) pridala obe zraniteľnosti CVE-2025-48572 a CVE-2025-48633 do svojho katalógu známych zneužívaných zraniteľností (KEV), čo vyžaduje, aby federálne civilné agentúry (FCEB) aplikovali opravy najneskôr do 23. decembra 2025.
Viac informácií tu:
https://thehackernews.com/2025/12/google-patches-107-android-flaws.html?_m=3n%2e009a%2e3839%2eam0ao465na%2e2vpa
https://source.android.com/docs/security/bulletin/2025-12-01