Google vá các lỗ hổng Android bị khai thác tích cực trong bản cập nhật tháng 9

Các lỗ hổng được phát hiện bị khai thác trong các cuộc tấn công zero-day lần lượt là: CVE-2025-38352 trong kernel Android và CVE-2025-48543, ảnh hưởng đến thành phần Android Runtime. Google lưu ý rằng có dấu hiệu cho thấy 02 lỗ hổng này có thể đang bị khai thác hạn chế và có mục tiêu, nhưng không chia sẻ thêm thông tin chi tiết.

Được biết, CVE-2025-38352 là một lỗ hổng trong kernel Linux được phát hiện lần đầu vào ngày 22/7/2025, đã được khắc phục trong các phiên bản nhân 6.12.35-1 trở lên. Trước đó, lỗ hổng này chưa được đánh dấu là đang bị khai thác tích cực.

Theo Google, CVE-2025-38352 là loại lỗ hổng Race Condition trong bộ đếm CPU POSIX timer, cho phép gián đoạn việc dọn dẹp các tác vụ và gây ra sự cố với kernel, có khả năng dẫn đến từ chối dịch vụ và leo thang đặc quyền.

Mặt khác, lỗ hổng CVE-2025-48543 ảnh hưởng đến Android Runtime, nơi các ứng dụng Java/Kotlin và dịch vụ hệ thống thực thi. Lỗ hổng này có khả năng cho phép ứng dụng độc hại vượt qua các hạn chế của sandbox và truy cập các chức năng hệ thống cấp cao hơn.

Ngoài 02 lỗ hổng đang bị khai thác tích cực, bản cập nhật tháng 9/2025 của Google dành cho Android còn giải quyết 04 lỗ hổng nghiêm trọng khác. Đầu tiên là CVE-2025-48539, lỗ hổng xảy ra trong thành phần hệ thống của Android, nó cho phép kẻ tấn công ở gần phạm vi vật lý hoặc mạng, chẳng hạn như Bluetooth hoặc Wifi, thực thi mã tùy ý trên thiết bị mà không cần bất kỳ tương tác hoặc đặc quyền nào của người dùng.

Ba lỗ hổng nghiêm trọng khác là CVE-2025-21450, CVE-2025-21483 và CVE-2025-27034, tất cả đều ảnh hưởng đến các thành phần độc quyền của Qualcomm. Theo thông tin chi tiết bổ sung do Qualcomm cung cấp, CVE-2025-21483 là lỗ hổng hỏng bộ nhớ trong ngăn xếp mạng dữ liệu. Kẻ tấn công có thể gửi lưu lượng mạng được thiết kế đặc biệt để kích hoạt lệnh ghi ngoài giới hạn, điều này có thể cho phép thực thi mã từ xa mà không cần sự tương tác của người dùng.

Bên cạnh đó, CVE-2025-27034 là lỗi xác thực chỉ mục mảng. Các response mạng độc hại hoặc không đúng định dạng có thể làm hỏng bộ nhớ và dẫn đến thực thi mã trong băng tần modem. Tổng cộng, bản cập nhật bảo mật Android mới nhất bao gồm các bản vá cho 27 thành phần Qualcomm, nâng tổng số lỗi đã xử lý lên 111. Tuy nhiên, những bản vá này không liên quan đến các thiết bị chạy trên chip của các nhà sản xuất khác.

Samsung cũng đã phát hành bản cập nhật bảo trì tháng 9 cho các thiết bị của mình, bao gồm các bản vá cho các lỗ hổng cụ thể trong các thành phần tùy chỉnh, chẳng hạn như One UI.