Android выпускает мегабомбу-патч — 120 исправлений, две из которых уже эксплуатируются

leer en español

Patch Tuesday Android смартфон патчи обновления CVE‑2025‑38352 CVE‑2025‑48543
Android выпускает мегабомбу-патч — 120 исправлений, две из которых уже эксплуатируются
Patch Tuesday Android смартфон патчи обновления CVE‑2025‑38352 CVE‑2025‑48543

CVE‑2025‑38352 и CVE‑2025‑48543 уже в деле.

image

Android вышел с самым крупным пакетом исправлений в этом году, опередив традиционный цикл «Patch Tuesday». На фоне сообщений об активной эксплуатации двух уязвимостей система получила сразу 120 патчей — рекордное число за 2025-й. Для сравнения: в июле платформа не выпустила ни одного обновления, но в сентябре речь идёт о критических проблемах.

Особое внимание привлекают два бага высокой степени опасности. CVE-2025-38352 затрагивает ядро Linux, лежащее в основе ОС, а CVE-2025-48543 обнаружен в среде исполнения, где работают приложения Android. Обе ошибки позволяют локально повышать привилегии без участия пользователя. Google не уточнил, кто именно использует эти дыры и каким образом, однако формулировки в отчёте намекают на возможную причастность компаний, разрабатывающих шпионские решения. В Университете Торонто специалисты Citizen Lab заявили, что пока не фиксировали эксплуатацию этих багов. Зато CERT Гонконга выпустил собственное предупреждение и подтвердил признаки «ограниченных целевых атак».

Помимо этих Android уязвимостей , сентябрьский пакет закрывает три критические ошибки в закрытых компонентах Qualcomm . CVE-2025-21450 (оценка CVSS 9.1) относится к системе управления GPS, CVE-2025-21483 затрагивает сетевые стеки, а CVE-2025-27034 связана с многорежимным процессором вызовов. Всего Qualcomm устранил сразу несколько серьёзных проблем, продолжая усиливать политику поддержки: с февраля срок выпуска обновлений для его компонентов увеличен с четырёх до восьми лет. Для сравнения, Google гарантирует семь лет поддержки для линейки Pixel 8 и более новых моделей.

Imagination Technologies также получила свою часть исправлений: десять патчей высокого уровня риска для графических процессоров PowerVR. Кроме того, в самом Android закрыта критическая уязвимость удалённого выполнения кода в системном компоненте (CVE-2025-48539), которая требует немедленной установки апдейта.

Однако ключевая проблема остаётся в скорости распространения обновлений. Владельцы Google Pixel получают патчи оперативно, но эта линейка занимает лишь около четырёх процентов рынка США. Основные игроки — Samsung и Motorola — внедрят исправления по собственным графикам. Сроки выхода апдейтов пока не объявлены.

Таким образом, сентябрьский релиз Android стал самым масштабным с начала года и сразу отразил новые реалии: уязвимости активно атакуют, а значит, скорость доставки обновлений критична. Пока же разрыв между своевременной поддержкой «чистого» Android и практикой других производителей остаётся одной из главных проблем экосистемы.