Em seu Boletim de Segurança do Android de dezembro, o Google está lançando um número especialmente grande de atualizações para resolver vulnerabilidades em diferentes componentes – e duas das falhas podem ter sido exploradas à solta.
O patch de dezembro cobre 107 bugs no kernel, sistema e estrutura do Android, bem como nos componentes Qualcomm, MediaTek, Arm, Unisoc e Imagination Technologies. As vulnerabilidades de alta gravidade incluem negação de serviço, elevação de privilégio e falhas de divulgação de informações. Existem também alguns bugs rotulados como “críticos”.
Duas explorações ativas
Duas das vulnerabilidades abordadas na atualização de dezembro são zero-day, que são falhas que foram exploradas ativamente ou divulgadas publicamente antes que o desenvolvedor disponibilizasse um patch. O Google observa que ambos podem estar sob “exploração limitada e direcionada”.
CVE-2025-48633 é uma vulnerabilidade de divulgação de informações, enquanto CVE-2025-48572 é uma falha de elevação de privilégio. Ambos afetam o Android Framework nas versões 13 a 16.
O Google não divulgou nenhuma informação adicional sobre as falhas e como elas podem ter sido exploradas (ou por quem). No entanto, como relata o Bleeping Computer, bugs semelhantes foram alvo de operações comerciais de spyware e campanhas estaduais no passado.
O que você acha até agora?
Certifique-se de que seu dispositivo Android esteja atualizado
Você deve sempre implementar patches de segurança assim que estiverem disponíveis; portanto, se receber uma notificação para atualização, siga as instruções para fazer o download e instalá-lo. Você também pode verificar atualizações por meio de um caminho como Configurações > Segurança e privacidade > Sistema e atualizações > Atualização de segurança. Observe que isso pode ser um pouco diferente dependendo do seu dispositivo, e você sempre pode pesquisar “atualizar” para localizá-lo.
Os patches deste mês se aplicam às versões 13, 14, 15 e 16 do Android Open Source Project (AOSP) e são datados de 01/12/2025 e 05/12/2025 – o último corrige todos os problemas conhecidos.
Os usuários do Pixel (e o código AOSP principal) recebem patches do Google, e aqueles em outros dispositivos Android da Huawei, LGE, Samsung, Motorola e Nokia devem receber atualizações de seus respectivos fabricantes ao mesmo tempo.
