A Google lançou, como parte de sua atualização mensal de segurança para setembro de 2025, um pacote com correções para 120 vulnerabilidades no sistema operacional Android. Entre elas, duas falhas críticas já foram exploradas em ataques direcionados, o que acende um alerta para usuários e fabricantes.
As falhas mais graves corrigidas são:
-
CVE-2025-38352 (pontuação CVSS: 7.4): falha de escalonamento de privilégios no componente Linux Kernel.
-
CVE-2025-48543 (pontuação CVSS: não atribuída): falha semelhante no Android Runtime.
Segundo a Google, ambas as vulnerabilidades permitiam que invasores elevassem privilégios locais sem a necessidade de permissões adicionais ou interação do usuário — facilitando sua exploração em ataques silenciosos e direcionados.
Embora a empresa não tenha revelado detalhes sobre como essas falhas foram utilizadas, confirmou haver sinais de “exploração limitada e direcionada”. A descoberta da falha no kernel foi atribuída a Benoît Sevens, do Threat Analysis Group (TAG) da própria Google, o que sugere que a vulnerabilidade pode ter sido explorada em ataques de spyware contra alvos específicos.
Além das duas falhas zero-day, o boletim de segurança inclui correções para outras vulnerabilidades críticas, como execução remota de código, escalonamento de privilégios, exposição de dados e ataques de negação de serviço. Os principais alvos dessas falhas incluem os componentes Framework e System do Android.
Para facilitar a aplicação dos patches pelos fabricantes de dispositivos, a Google disponibilizou dois níveis de atualização: 2025-09-01 e 2025-09-05. A empresa incentiva os parceiros a aplicarem todas as correções disponíveis, sempre que possível.
A importância das atualizações é reforçada pela recente correção de duas falhas adicionais na Qualcomm — CVE-2025-21479 (CVSS 8.6) e CVE-2025-27038 (CVSS 7.5) — que estavam sendo ativamente exploradas, segundo o próprio fabricante de chips.
