谷歌修复安卓120个漏洞，含两个正遭利用的零日漏洞

作为2025年9月月度更新的一部分，谷歌已发布安全补丁修复安卓操作系统中的120个安全漏洞，其中包括两个已被用于针对性攻击的漏洞。

高危漏洞详情

已披露的漏洞包括：

• CVE-2025-38352（CVSS评分：7.4）- Linux内核组件的权限提升漏洞
• CVE-2025-48543（CVSS评分：暂无）- Android Runtime组件的权限提升漏洞

谷歌表示这两个漏洞均可能导致本地权限提升，且无需额外执行权限。该公司特别指出，漏洞利用过程无需用户交互。

攻击活动特征

虽然谷歌未透露这些漏洞在真实攻击中的具体利用方式以及是否存在组合利用情况，但承认已发现"有限的针对性利用"迹象。谷歌威胁分析小组（TAG）研究员Benoît Sevens发现并报告了上游Linux内核漏洞，暗示该漏洞可能已被用于针对性间谍软件攻击。

其他修复内容

本次更新还修复了影响框架和系统组件的多个远程代码执行、权限提升、信息泄露及拒绝服务漏洞。谷歌发布了两个安全补丁级别（2025-09-01和2025-09-05），以便安卓合作伙伴能更灵活地快速修复所有安卓设备共有的部分漏洞。

谷歌建议：“安卓合作伙伴应修复本公告中的所有问题，并采用最新的安全补丁级别。”

历史漏洞背景

上月，谷歌曾发布安全更新修复两个高通漏洞——CVE-2025-21479（CVSS评分：8.6）和CVE-2025-27038（CVSS评分：7.5），芯片制造商确认这两个漏洞已在野被积极利用。