近日,谷歌就发布了2025年8月的安卓安全公告,修复的多个漏洞中,有两个高危漏洞(CVE-2025-21479和CVE-2025-27038)已被证实正遭黑客在野利用。
漏洞信息
CVE-2025-21479的CVSS评分高达8.6分,CVE-2025-27038的评分也有7.5分。还有个CVE-2025-21480,评分同样是8.6分。这三个漏洞早在今年6月就被高通公开披露了,虽然具体的被利用方式还未公开,但有可靠的情报表明它们已被积极用于有针对性的攻击。
据高通披露,CVE-2025-21479是图形组件里的授权错误问题,让GPU微代码执行未经授权的命令,进而可能导致内存被破坏。而CVE-2025-27038属于“使用后释放”漏洞,在通过Adreno GPU驱动程序渲染图形时,尤其是在Chrome环境下,可能会造成内存损坏。
谷歌威胁分析小组指出,这几个漏洞正遭受“有限的、有针对性的利用”,不过关于攻击手段和涉及的威胁行为者,目前还没有更多技术细节披露。
Android 安全公告:安全补丁程序级别和覆盖范围
谷歌此次发布的安全补丁很关键,设备更新到2025-08-05这个补丁级别,就能抵御本月安卓安全公告里列出的所有漏洞,当然也包括和高通相关的这些。用户可以在设置菜单里查看自己设备的补丁级别。谷歌也强调,按照协调披露流程,至少提前一个月就通知了安卓合作伙伴这些漏洞的情况。公告还提到,所有相关补丁会在公告发布后的48小时内,推送到安卓开源项目(AOSP),在8月4日,这个工作就已经开始了。
其他关键系统漏洞修复
除了高通漏洞之外,该公告还强调了 Android 系统组件中的另一个严重缺陷:CVE-2025-48530,这是一个远程代码执行 (RCE) 漏洞。此问题可能允许攻击者远程执行任意代码,而无需用户交互或提升权限。运行 Android 16 的设备尤其面临风险,尽管早期版本已采取缓解措施。谷歌已将此漏洞评估为严重漏洞,因为漏洞可能会造成潜在损害,特别是在绕过现有安全措施的情况下。
框架和系统组件中的其他漏洞
2025 年 8 月的公告还列出了多个其他漏洞,并根据其受影响的组件进行分组。在框架组件中,CVE-2025-22441 和 CVE-2025-48533 被标记为高严重性特权提升 (EoP) 漏洞。这些缺陷会影响运行 Android 版本 13 到 16 的设备。
系统组件还存在 CVE-2025-48530 等漏洞,如前所述,这些漏洞可以实现远程代码执行。这些问题中的每一个都已在相应的 Android 版本行中进行了相应的修补。
相关CVE信息及受影响芯片,参见:CVE-2025-21479 和 27038 被在野利用,谷歌发布紧急 Android 补丁