Google je ove nedjelje objavio zakrpe za ukupno 111 jedinstvenih CVE-ova u okviru septembarskog seta Android bezbjednosnih ažuriranja, uključujući i ranjivosti koje su već bile aktivno iskorišćene.
Eksploatisane ranjivosti, obje vezane za eskalaciju privilegija, pogađaju Android Runtime (CVE-2025-48543) i Linux kernel (CVE-2025-38352).
„Postoje indikacije da su sljedeće ranjivosti bile predmet ograničene, ciljane eksploatacije: CVE-2025-38352, CVE-2025-48543“, navodi se u Google-ovom savjetu.
Zakrpe za grešku u Linux kernelu, koja je povezana sa race uslovom prilikom rukovanja POSIX CPU tajmerima, najavljene su još u julu, a sve glavne distribucije izgleda da su već bile zakrpljene.
Iako nije bilo izvještaja o eksploataciji ove ranjivosti prije Google-ovog novog upozorenja, ona je prijavljena od strane Benoît Sevens-a iz Google Threat Analysis Group (TAG), što sugeriše da je možda iskorišćena u špijunskom softveru.
Google-ov savjet ne daje detalje o bezbjednosnom propustu u Android Runtime-u, osim da pogađa Android Open Source Project (AOSP) verzije 13, 14, 15 i 16.
Android Runtime zero-day ranjivost zakrpljena je u okviru nivoa bezbjednosne zakrpe 2025-09-01, koji je riješio još 58 drugih propusta u Framework, System i Widevine DRM komponentama.
Najozbiljnija među njima, kako upozorava Google, jeste kritična ranjivost za udaljeno izvršavanje koda u System komponenti (CVE-2025-48539), koja može biti iskorišćena bez dodatnih privilegija.
Uređaji ažurirani na nivo bezbjednosne zakrpe 2025-09-05 takođe će dobiti zakrpe za ranjivost u Linux kernelu, kao i za još 51 drugi problem koji pogađa Linux kernel i komponente kompanija Arm, Imagination Technologies, MediaTek i Qualcomm.
Ove nedjelje Google je objavio i novu rundu Pixel bezbjednosnih ažuriranja koja rješavaju 23 ranjivosti specifične za te uređaje, kao i sve propuste iz septembarskog Android bezbjednosnog biltena.
Sve ranjivosti navedene u Android biltenu zakrpljene su i u Wear OS, Pixel Watch i Automotive OS ažuriranjima. Wear OS i Pixel Watch ažuriranja uključuju i zakrpe za dodatne dvije, odnosno jednu bezbjednosnu ranjivost.
Korisnicima se savjetuje da što prije ažuriraju svoje uređaje na nivo bezbjednosne zakrpe 2025-09-05, čim im postane dostupan.
Izvor: SecurityWeek
