【安全资讯】谷歌紧急修复Android系统中两个正被积极利用的零日漏洞

概要：

谷歌近日发布了2025年9月的Android安全更新，紧急修复了84个安全漏洞，其中包括两个已被黑客积极利用的零日漏洞。这些漏洞涉及权限提升问题，可能允许攻击者完全控制设备，对全球数十亿Android用户构成严重威胁。

主要内容：

此次修复的两个零日漏洞分别为CVE-2025-38352和CVE-2025-48543。CVE-2025-38352是Android内核中的一个权限提升漏洞，源于POSIX CPU计时器中的竞争条件问题，可导致任务清理中断和内核不稳定，可能引发系统崩溃、拒绝服务和权限提升。

CVE-2025-48543影响Android运行时环境，Java/Kotlin应用程序和系统服务在此执行。该漏洞可能允许恶意应用绕过沙箱限制，访问更高级别的系统功能。谷歌确认这两个漏洞已被用于有限的针对性攻击。

更新还修复了四个关键严重性漏洞，包括CVE-2025-48539，这是一个Android系统组件中的远程代码执行漏洞，攻击者可通过物理或网络 proximity（如蓝牙或WiFi范围）在无需用户交互的情况下执行任意代码。

此外，三个影响高通专有组件的关键漏洞CVE-2025-21450、CVE-2025-21483和CVE-2025-27034也得到修复。CVE-2025-21483是数据网络栈中的内存损坏漏洞，CVE-2025-27034是多模式呼叫处理器中的数组索引验证错误。