کمیته رکن چهارم – گوگل در تازهترین بهروزرسانی امنیتی اندروید، بیش از ۱۰۰ آسیبپذیری امنیتی را اصلاح کرده که دو مورد از آنها بهصورت فعال در حملات واقعی مورد سوءاستفاده قرار گرفتهاند. این اصلاحات در قالب وصله امنیتی ماه دسامبر ۲۰۲۵ منتشر شدهاند.
به گزارش کمیته رکن چهارم، دو آسیبپذیری بهرهبرداریشده شامل CVE-2025-48633 (نقص افشای اطلاعات در Framework) و CVE-2025-48572 (نقص ارتقای سطح دسترسی) هستند. گوگل تأیید کرده که شواهدی از بهرهبرداری محدود و هدفمند از این دو نقص وجود دارد، اما جزئیاتی درباره مهاجمان یا دامنه قربانیان ارائه نکرده است.
یکی از دیگر آسیبپذیریهای مهم، CVE-2025-48631 است که به مهاجم اجازه میدهد از راه دور و بدون نیاز به مجوز خاصی، سیستم را دچار اختلال کند. در مجموع، بهروزرسانی ماه دسامبر شامل اصلاحات در بخشهای مختلفی مانند Framework، System، Kernel و مؤلفههای مربوط به شرکتهایی چون MediaTek، Qualcomm و Arm بوده است.
این بهروزرسانی با دو سطح وصله (۲۰۲۵-۱۲-۰۱ و ۲۰۲۵-۱۲-۰۵) منتشر شده تا تولیدکنندگان دستگاهها بتوانند وصلههای بحرانی را زودتر اعمال کنند. گفتنی است، تنها چند ماه پیش نیز دو آسیبپذیری خطرناک دیگر در Kernel لینوکس و Android Runtime برطرف شده بودند.
در ۲ دسامبر ۲۰۲۵، سازمان امنیت سایبری CISA، دو آسیبپذیری جدید یادشده را به فهرست KEV اضافه کرد و از سازمانهای فدرال خواست تا پیش از ۲۳ دسامبر ۲۰۲۵ اقدامات اصلاحی لازم را انجام دهند.
