Google on varoittanut, että Android on hyökkäyksen kohteena. Yllättäen se myönsi kiirehtineensä julkaisemaan korjaukset kahteen haavoittuvuuteen, jotka saattoivat johtaa etäpalvelunestohyökkäykseen (DoS) ilman lisäoikeuksia, ja laitevalmistajat saavat uuden lähdekoodin ”48 tunnin kuluessa”.
Googlen mukaan ”CVE-2025-48633” ja ”CVE-2025-48572
Näiden kahden nollapäivähyökkäyksen lisäksi joulukuun kuukausittainen päivitys sisältää yli 100 muuta korjausta.
Molemmat näistä korkean vakavuustason haavoittuvuuksista vaikuttavat Android-kehysrakenteeseen ja voivat johtaa etäpalvelunestohyökkäykseen ilman lisäoikeuksia. On hyvin todennäköistä, että tässä tapauksessa haavoittuvuuksien takana on jokin haitallinen vakoiluohjelma. Google on ilmoittanut, että se ei julkaise lisätietoja ennen päivityksen julkaisua.
Se, että Google julkaisi kuukausittaisen päivityksen kuukauden ensimmäisenä päivänä, on huomionarvoista: näin suuren määrän korjausten sisällyttäminen on seurausta Googlen uudesta prosessista, jossa korjaukset yhdistetään neljännesvuosittain julkaistavaan kattavaan päivitykseen, mikä tekee välivuosista suhteellisen kevyitä. Nollapäivän haavoittuvuudet olisi kuitenkin korjattu välittömästi riippumatta tästä prosessista.
”Tunnettuja haavoittuvuuksia” päivän lopussa kumpikaan haavoittuvuus ei ollut vielä lisätty vuoden 2019 tietoturvapäivityskatalogiin, mutta voidaan olettaa, että molemmat lisätään seuraavien 24–48 tunnin aikana yhdessä tavallisten pakollisten päivitysten kanssa.
Loppujen lopuksi joulukuun päivitystä ei ole vielä julkaistu, mutta sen tärkeyden vuoksi odotamme sen ilmestyvän pian. Valitettavasti Samsung Galaxy -käyttäjät eivät saa päivitystä heti, koska toisin kuin Pixel (ja iPhone), päivitys kaikille Samsung-laitteille vie kuukauden.
Käyttäjiä kehotetaan ottamaan yhteyttä Android-laitteensa valmistajaan (OEM) saadakseen suosituksia ja asentamaan päivitykset heti niiden julkaisun jälkeen. Vaikka nämä hyökkäykset ovat tällä hetkellä pääasiassa kohdennettuja, tämän tyyppiset haavoittuvuudet ovat taipuvaisia laajentamaan käyttöaluettaan ja niitä käytetään yhdessä muiden haavoittuvuuksien kanssa.
Jos Android-älypuhelimesi ei enää ole turvallisuuspäivitysten piirissä, on aika harkita päivitystä – joulukuun julkaisun laajuus muistuttaa siitä, miksi.
