گوگل بهروزرسانیهای امنیتی را برای رفع ۱۲۰ نقص امنیتی در سیستمعامل اندروید خود بهعنوان بخشی از اصلاحات ماهانه خود برای سپتامبر ۲۰۲۵ منتشر کرده است[۱]، ازجمله دو مسئلهای که گفته میشود در حملات هدفمند مورد سوءاستفاده قرار گرفتهاند.
این آسیبپذیریها در زیر فهرست شدهاند:
- CVE-2025-38352 (امتیاز ۷٫۴ در CVSS) – یک نقص افزایش امتیاز در مؤلفه هسته لینوکس[۲]
- CVE-2025-48543 (امتیاز CVSS: ناموجود) – یک نقص افزایش امتیاز در مؤلفه زمان اجرای اندروید
گوگل اعلام کرد که هر دو آسیبپذیری میتوانند منجر به افزایش امتیاز محلی بدون نیاز به امتیازات اجرایی اضافی شوند. همچنین خاطرنشان کرد که برای بهرهبرداری نیازی به تعامل کاربر نیست.
این غول فناوری فاش نکرد که چگونه این مشکلات در حملات دنیای واقعی بهعنوان سلاح استفاده شدهاند و آیا از آنها بهطور همزمان استفاده میشود یا خیر، اما اذعان کرد که نشانههایی از “بهرهبرداری محدود و هدفمند” وجود دارد.
بنوا سون از گروه تحلیل تهدید گوگل (TAG) به خاطر کشف و گزارش نقص هسته لینوکس بالادستی موردتقدیر قرار گرفته است، که نشان میدهد ممکن است بهعنوان بخشی از حملات جاسوسی هدفمند مورد بهرهبرداری قرار گرفته باشد.
همچنین توسط گوگل چندین آسیبپذیری اجرای کد از راه دور، افزایش امتیاز، افشای اطلاعات و انکار سرویس که بر اجزای چارچوب و سیستم تأثیر میگذارند، وصله شده است.
گوگل دو سطح وصله امنیتی، ۲۰۲۵-۰۹-۰۱ و ۲۰۲۵-۰۹-۰۵ را منتشر کرده است تا به شرکای اندروید انعطافپذیری لازم را برای رسیدگی سریعتر به بخشی از آسیبپذیریهایی که در همه دستگاههای اندروید مشابه هستند، بدهد.
گوگل اعلام کرد: “از شرکای اندروید خواسته میشود که همه مشکلات موجود در این بولتن را برطرف کرده و از آخرین سطح وصله امنیتی استفاده کنند.”
ماه گذشته، غول فناوری گوگل بهروزرسانیهای امنیتی را برای رفع دو آسیبپذیری کوالکام – CVE-2025-21479 (امتیاز ۸٫۶ در CVSS) و CVE-2025-27038 (امتیاز ۷٫۵ در CVSS) – که توسط این سازنده تراشه بهعنوان آسیبپذیریهای فعال در سطح اینترنت مورد بهرهبرداری قرار گرفته بودند، منتشر کرد[۳].
منابع
[۱] https://source.android.com/docs/security/bulletin/2025-09-01
[۲] https://nvd.nist.gov/vuln/detail/CVE-2025-38352
[۳] https://apa.aut.ac.ir/?p=11491
[۴] https://thehackernews.com/2025/09/android-security-alert-google-patches.html
ثبت ديدگاه