【 資安警訊 】- Google 發布12 月安卓例行更新，修補 2 項零時差漏洞

發布編號：OIS-CTI-2025-12-002

情資來源：iThome

事件類型：漏洞警訊公告

內容說明：

Google 週一發布 12 月份安卓例行更新，其中有 2 個是零時差漏洞，已被用於針對特定人士的目標式攻擊，而成為本次更新最受關注的焦點。

 圖片來源：iThome

12 月 1 日 Google 發布本月安卓例行更新，總共修補 107 個漏洞，其中較為受到關注的部分，是兩個被用於攻擊行動的零時差漏洞。

這兩個漏洞是 CVE-2025-48572 與 CVE-2025-48633，其中，CVE-2025-48572 出現在系統框架，為高風險層級的權限提升漏洞（EoP），影響 13 至 16 版安卓作業系統；另一個漏洞CVE-2025-48633，也是位於系統框架的高風險漏洞，可被用於資訊洩露（Information Disclosure，ID），同樣影響安卓作業系統 13 至 16 版。

雖然 Google 並未說明漏洞其他細節，也沒有提及攻擊者如何利用，但他們提及已掌握遭到利用的跡象，疑為鎖定少數人士的目標式攻擊。過往類似的資安漏洞，往往用於間諜軟體活動，或是國家級駭客針對特定人士的漏洞利用活動。

附帶一提，根據漏洞的危險程度，本次 Google 修補7個重大層級的漏洞，其中 1 個為系統框架的阻斷服務（DoS）漏洞、4 個為位於 Linux 核心的權限提升漏洞，另有 2 個為高通元件弱點。

影響平台：

• 安卓作業系統 13 至 16 版

建議措施：

Google 建議 Android 合作夥伴修正本公告所列的所有問題，並使用最新的安全性修補程式等級。

• 如果裝置使用 2025-12-01 安全性修補程式等級，必須納入該安全性修補程式等級涵蓋的所有相關問題，以及先前安全性公告中所有回報問題適用的修補程式。

• 如果裝置是使用 2025-12-05 之後的安全性修補程式等級，就必須加入本安全性公告 (以及之前公告) 中的所有適用修補程式。

參考連結 ：

https://www.ithome.com.tw/news/172588

https://source.android.com/docs/security/bulletin/2025-12-01?hl=zh-tw