高通芯片漏洞被在野利用，谷歌发布紧急安卓补丁

近日，谷歌就发布了2025年8月的安卓安全公告，修复的多个漏洞中，有两个高危漏洞（CVE-2025-21479和CVE-2025-27038）已被证实正遭黑客在野利用。

漏洞信息

CVE-2025-21479的CVSS评分高达8.6分，CVE-2025-27038的评分也有7.5分。还有个CVE-2025-21480，评分同样是8.6分。这三个漏洞早在今年6月就被高通公开披露了，虽然具体的被利用方式还未公开，但有可靠的情报表明它们已被积极用于有针对性的攻击。

据高通披露，CVE-2025-21479是图形组件里的授权错误问题，让GPU微代码执行未经授权的命令，进而可能导致内存被破坏。而CVE-2025-27038属于“使用后释放”漏洞，在通过Adreno GPU驱动程序渲染图形时，尤其是在Chrome环境下，可能会造成内存损坏。

谷歌威胁分析小组指出，这几个漏洞正遭受“有限的、有针对性的利用”，不过关于攻击手段和涉及的威胁行为者，目前还没有更多技术细节披露。

Android 安全公告：安全补丁程序级别和覆盖范围

谷歌此次发布的安全补丁很关键，设备更新到2025-08-05这个补丁级别，就能抵御本月安卓安全公告里列出的所有漏洞，当然也包括和高通相关的这些。用户可以在设置菜单里查看自己设备的补丁级别。谷歌也强调，按照协调披露流程，至少提前一个月就通知了安卓合作伙伴这些漏洞的情况。公告还提到，所有相关补丁会在公告发布后的48小时内，推送到安卓开源项目（AOSP），在8月4日，这个工作就已经开始了。

其他关键系统漏洞修复

除了高通漏洞之外，该公告还强调了 Android 系统组件中的另一个严重缺陷：CVE-2025-48530，这是一个远程代码执行 （RCE） 漏洞。此问题可能允许攻击者远程执行任意代码，而无需用户交互或提升权限。运行 Android 16 的设备尤其面临风险，尽管早期版本已采取缓解措施。谷歌已将此漏洞评估为严重漏洞，因为漏洞可能会造成潜在损害，特别是在绕过现有安全措施的情况下。

框架和系统组件中的其他漏洞

2025 年 8 月的公告还列出了多个其他漏洞，并根据其受影响的组件进行分组。在框架组件中，CVE-2025-22441 和 CVE-2025-48533 被标记为高严重性特权提升 （EoP） 漏洞。这些缺陷会影响运行 Android 版本 13 到 16 的设备。

系统组件还存在 CVE-2025-48530 等漏洞，如前所述，这些漏洞可以实现远程代码执行。这些问题中的每一个都已在相应的 Android 版本行中进行了相应的修补。

相关CVE信息及受影响芯片，参见：CVE-2025-21479 和 27038 被在野利用，谷歌发布紧急 Android 补丁