Google修補Android系統元件零點擊RCE漏洞

Google本周發布11月Android安全更新，修補二項Android漏洞，包含一個零點擊的遠端程式碼執行漏洞。

本月修補的二項漏洞都是位於系統（System）核心元件。其中CVE-2025-48593出在讓攻擊者不必取得額外權限，即可遠端執行程式碼，而且不需任何使用者點擊等互動。本漏洞嚴重性被列為「最高」，影響Android 13到16。

CybersecurityNews報導，濫用這類漏洞，攻擊者只要傳送改造過的網路封包，或利用側載或第三方軟體平臺載入惡意App。而一旦遠端程式碼執行成功，Android裝置可能被竊取資料、植入勒索軟體或被收編為殭屍網路成員。

CVE-2025-48581則為提權（elevation of privilege,EoP）漏洞，意謂攻擊者可在存取裝置後，進一步存取重要資訊或功能元件。本漏洞嚴重性被列為「高」，影響Android 16。

由於二漏洞影響的是Android核心元件，因此所有Android裝置都受影響。該公司呼籲所有使用者更新到最新版本Android，並檢查裝置是否顯示為「security patch level of 2025-11-01」以上。不過要注意的是，只有Android 10以上版本的裝置才能獲得更新。兩漏洞是否遭到濫用或存在PoC程式不得而知。

Google說，在公告後48小時會將原始碼修補程式發布到Android Open Source Project（AOSP）。