Локальні зловмисники можуть використовувати активно зловживану вразливість Android Framework високого рівня (відстежується як CVE-2025-48595), щоб отримати доступ до виконання коду та підвищити привілеї на пристроях під керуванням Android 14 або пізнішої версії.
«Є ознаки того, що CVE-2025-48595 може бути підданий обмеженому, цілеспрямованому використанню», – заявила компанія в понеділок у своєму бюлетені безпеки Android за березень 2025 року.
«Експлуатація багатьох проблем на Android ускладнюється вдосконаленнями в новіших версіях платформи Android. Ми закликаємо всіх користувачів оновлюватися до останньої версії Android, де це можливо».
Хоча Google ще не поділився технічними подробицями щодо недоліку та не надав додаткової інформації про поточні атаки, спрямовані на нього, подібні недоліки використовувалися в минулому комерційним шпигунським програмним забезпеченням та операціями національних держав, спрямованими на відомих або зацікавлених осіб.
За допомогою оновлень безпеки Android цього місяця Google виправила 18 критичних вразливостей у компонентах із закритим кодом System, Framework та Qualcomm, якими зловмисники можуть скористатися для запуску умов відмови в обслуговуванні та підвищення привілеїв на непатчених пристроях Android.
«Найсерйознішою з цих проблем є критична вразливість безпеки в компоненті Framework, яка може призвести до віддаленого підвищення привілеїв без необхідності додаткових прав на виконання. Для експлуатації не потрібна взаємодія з користувачем», – додали в Google.
У понеділок Google випустила два набори патчів: патчі безпеки 2026-06-01 та 2026-06-05, причому останній об’єднує всі виправлення з першого пакету, а також патчі для сторонніх компонентів із закритим кодом та підкомпонентів ядра, які можуть не застосовуватися до всіх пристроїв Android.
Хоча пристрої Google Pixel отримають ці оновлення безпеки негайно, іншим постачальникам часто знадобиться більше часу для їх тестування та налаштування для певних конфігурацій обладнання.
Речник Google не був одразу доступний для коментарів, коли BleepingComputer звернувся за додатковою інформацією щодо атак CVE-2025-48595 та їхніх цілей.
Минулого місяця Google також переглянув свої програми винагород за вразливості Android та Chrome, пропонуючи винагороди до 1,5 мільйона доларів за деякі експлойти Android, водночас зменшуючи виплати за недоліки, які легше знайти за допомогою штучного інтелекту (ШІ).
