
Google 2026年6月安卓更新修复124个漏洞
Google 于 2026 年 6 月为 Android 发布 124 个安全漏洞补丁,其中 Framework 组件的 CVE-2025-48595 处于活跃利用状态,且可在无需用户交互的情况下导致本地权限提升。受影响设备包括 Android 14、15、16 和 16 QPR2。Google 提供 2026-06-01 与 2026-06-05 两个补丁级别,CISA 已将该漏洞加入已知被利用漏洞目录。
Google 于周一发布了针对其 Android 操作系统的 124 个安全漏洞补丁,覆盖 2026 年 6 月,其中包括 Framework 组件中的一个高危缺陷,该缺陷已被发现正在遭受主动利用。
该漏洞编号为 CVE-2025-48595(CVSS 评分:8.4),被描述为一种无需任何用户交互即可实现的权限提升。该漏洞影响运行 Android 14、15、16 以及 16 QPR2(季度平台发布 2)的设备。
CVE.org 上对该漏洞的描述称:“在多个位置,由于整数溢出,存在一种可能实现代码执行的方法。” “这可能导致本地权限提升,且不需要额外的执行权限。利用不需要用户交互。”
Google 已确认有迹象表明,CVE-2025-48595 可能正遭受“有限、定向的利用”。按惯例,这家科技巨头没有披露可能参与该活动的人员、受影响目标以及此类行动的规模。
尽管如此,类似缺陷已被商业间谍软件供应商武器化,用于在极其定向的攻击中针对高知名度个人。
除此之外,System 组件中的多项漏洞也已被修补,其中最严重的漏洞可能导致本地权限提升,且不需要额外的执行权限。
Google 发布了两组补丁——2026-06-01 和 2026-06-05 安全补丁级别——后者包含第一组中的所有修复,以及来自 Imagination Technologies、MediaTek、Qualcomm 和 Unisoc 的内核和第三方芯片组组件补丁。
更新
美国网络安全与基础设施安全局(CISA)于 2026 年 6 月 2 日将 CVE-2025-48595 添加至其已知被利用漏洞(KEV)目录,并要求联邦民事行政部门(FCEB)机构在 2026 年 6 月 5 日前修复该漏洞。