谷歌紧急发布安卓安全更新，修复可导致权限提升的多项高危漏洞

谷歌紧急发布面向安卓设备的全面安全更新，修复了多个可能导致权限提升和远程代码执行的高危漏洞。此次更新针对Arm、Imagination Technologies和高通等主要硬件厂商的关键缺陷，其中许多漏洞的CVE评级表明它们对全球安卓用户构成重大安全风险。

这份最新安全公告是今年发布的最全面补丁之一，涉及GPU驱动程序、内核组件以及构成安卓硬件抽象层基础的闭源元素等多个层面的漏洞。

关键GPU漏洞

Arm的Mali GPU组件受到两个高危漏洞影响：CVE-2025-0073和CVE-2025-0819，攻击者可能通过这些漏洞利用图形子系统获取更高权限。

Imagination Technologies的PowerVR-GPU驱动程序面临更严峻的安全形势，存在七个需要立即修复的高危漏洞，包括：CVE-2024-12576、CVE-2024-12837、CVE-2024-47893、CVE-2025-0468、CVE-2025-0478、CVE-2025-0835和CVE-2025-25178。这些漏洞涉及不同版本的PowerVR-GPU实现，攻击者可能利用它们以提升的权限执行任意代码。

GPU相关漏洞的普遍存在凸显了图形驱动程序日益扩大的攻击面。安全研究人员指出，由于GPU驱动程序具有复杂的代码库，并通过图形API和着色器编译过程频繁与不受信任的用户空间应用程序交互，使其成为权限提升攻击的理想目标。

高通内核与闭源组件漏洞

高通组件面临开源内核元素和专有闭源组件的双重安全挑战。内核漏洞包括三个高危威胁：CVE-2025-21424、CVE-2025-21485和CVE-2025-21486。这些内核级漏洞尤其危险，因为它们运行在操作系统最高权限级别，攻击者可能借此完全控制受影响设备。

闭源组件漏洞给安全评估和修复带来额外复杂性。已确认六个高危漏洞：CVE-2024-53010、CVE-2024-53019、CVE-2024-53020、CVE-2024-53021、CVE-2024-53026和CVE-2025-27029。由于这些组件的闭源特性，详细漏洞信息仅通过高通安全公告披露，这给独立安全评估和验证带来挑战。

设备更新要求

安卓设备制造商需实施特定的安全补丁级别字符串以确保全面覆盖漏洞修复。采用2025-06-01安全补丁级别的设备必须解决该级别及之前公告的所有问题，而采用2025-06-05补丁级别的设备则需包含两个补丁级别中所有适用漏洞的完整修复方案。

谷歌采用双补丁级别结构，在为安卓合作伙伴提供部署策略灵活性的同时确保全面安全覆盖。这种机制允许制造商优先修复影响更广设备群体的关键漏洞，同时逐步实施所有已识别修复方案。对于运行Android 10及以上版本的设备，Google Play系统更新机制提供了额外更新途径，其日期字符串需与2025-06-01安全补丁级别匹配。

原文来自: cybersecuritynews.com