谷歌近期发布了针对安卓系统的安全更新，重点修复了包括两个已被实际利用的高通漏洞在内的多项安全漏洞。这些漏洞主要涉及图形组件的授权错误和释放后重用问题，可能导致内存损坏和未经授权的命令执行。其中，CVE-2025-21479和CVE-2025-27038等漏洞已被CISA列入已知被利用漏洞目录。虽然具体利用细节尚不明朗，但考虑到商业间谍软件供应商曾利用类似漏洞，此次更新对于防范潜在威胁至关重要。此外，更新还包含了安卓框架和系统组件中的权限提升及远程代码执行漏洞修复。用户应及时安装谷歌提供的最新补丁，以保障设备安全。

🧵 **高通漏洞修复与潜在风险**：本次更新重点修复了CVE-2025-21479（CVSS 8.6）和CVE-2025-27038（CVSS 7.5）等两个已被实际利用的高通漏洞。CVE-2025-21479是图形组件授权错误，可能导致GPU微代码中未经授权的命令执行和内存损坏；CVE-2025-27038是图形组件释放后重用漏洞，在Chrome浏览器使用Adreno GPU驱动渲染图形时可能造成内存损坏。谷歌威胁分析小组迹象表明，这些漏洞可能已被有限且针对性利用，鉴于过往商业间谍软件利用类似漏洞的先例，此次修复尤为重要。

🛡️ **CISA纳入已知利用漏洞目录**：CVE-2025-21479、CVE-2025-21480和CVE-2025-27038这三项高通漏洞已被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞目录，并要求联邦机构在2025年6月24日前完成更新。这标志着这些漏洞的严重性和紧迫性得到了官方确认，用户应提高警惕并尽快完成系统更新。

🚀 **多项关键漏洞得到修复**：除了高通漏洞，谷歌2025年8月补丁还修复了安卓框架中的两个高危权限提升漏洞（CVE-2025-22441与CVE-2025-48533），以及一个系统组件的关键漏洞（CVE-2025-48530）。该关键漏洞在与其他漏洞结合使用时，无需额外权限或用户交互即可实现远程代码执行，修复这些漏洞对于提升安卓系统的整体安全性具有重要意义。

💡 **及时更新是关键**：谷歌提供了2025-08-01和2025-08-05两套补丁级别，后者包含了更多对Arm与高通闭源及第三方组件的修复方案。为了有效防范潜在的安全威胁，建议所有安卓用户及时安装谷歌发布的最新安全更新，以保护个人信息和设备安全。

HackerNews 编译，转载请注明出处：

谷歌发布安全更新修复安卓系统多项安全漏洞，包含两个已被实际利用的高通漏洞。漏洞涉及CVE-2025-21479（CVSS评分8.6）与CVE-2025-27038（CVSS评分7.5），二者与CVE-2025-21480（CVSS评分8.6）均由芯片制造商于2025年6月披露。

CVE-2025-21479属于图形组件授权错误漏洞，可能导致因GPU微代码中未经授权的命令执行而引发内存损坏。CVE-2025-27038则是图形组件的释放后重用漏洞，在Chrome浏览器使用Adreno GPU驱动渲染图形时可能造成内存损坏。

目前尚无漏洞实际利用细节，但高通曾声明“谷歌威胁分析小组迹象表明，CVE-2025-21479、CVE-2025-21480、CVE-2025-27038可能已被有限且针对性利用”。鉴于Variston、Cy4Gate等商业间谍软件供应商曾利用类似高通芯片漏洞，推测上述漏洞可能已被同类场景滥用。

这三项漏洞已被美国网络安全和基础设施安全局（CISA）列入已知被利用漏洞目录，要求联邦机构在2025年6月24日前完成更新。

谷歌2025年8月补丁还修复了安卓框架中两个高危权限提升漏洞（CVE-2025-22441与CVE-2025-48533）以及系统组件关键漏洞（CVE-2025-48530）。后者在与其他漏洞串联时，无需额外权限或用户交互即可实现远程代码执行。

谷歌提供2025-08-01和2025-08-05两套补丁级别，后者额外包含Arm与高通闭源及第三方组件修复方案。建议安卓用户及时安装更新以防范潜在威胁。

 

 

 

---

消息来源：thehackernews；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文