背景图片取自Tim Hüfner on Unsplash

Google本周发布11月Android安全更新，修复了两项Android漏洞，其中包括一个零点击远程代码执行漏洞。

本月修复的两项漏洞均位于系统（System）核心组件。其中CVE-2025-48593允许攻击者无需额外权限即可远程执行代码，且无需任何用户点击或交互。该漏洞严重性被评定为“最高”，影响Android 13至16。

CybersecurityNews报道，攻击者可通过发送经过改造的网络数据包，或利用侧载或第三方应用平台加载恶意应用来利用此漏洞。一旦远程代码执行成功，设备可能被窃取数据、植入勒索软件或被纳入僵尸网络。

CVE-2025-48581为权限提升（Elevation of Privilege, EoP）漏洞，意味着攻击者在获取设备访问权限后，可进一步访问重要信息或系统功能。该漏洞严重性被评定为“高”，影响Android 16。

由于两个漏洞均影响Android核心组件，因此所有Android设备均受影响。Google呼吁所有用户更新至最新版本的Android系统，并检查设备是否显示“安全补丁级别为2025-11-01”或更高。需要注意的是，仅Android 10及以上版本的设备可获得此更新。目前尚不清楚这两个漏洞是否已被实际利用或存在公开的利用代码。

Google表示，公告发布后48小时内将把原始代码补丁发布至Android Open Source Project（AOSP）。