Android é vítima de duas novas falhas “ dia zero ”, ou seja, já explorado por um ataque cibernético. Google divulgou seu boletim de segurança de dezembro e aponta que duas das falhas podem causar “ sujeito a exploração limitada e direcionada “.
Eles carregam as referências CVE-2025-48633 e CVE-2025-48572 e são classificados como de alta gravidade. A primeira é a escalada de privilégios, o que significa que um usuário normal pode ter acesso a arquivos ou processos do sistema, por exemplo. Isso pode permitir que malware se infiltre no sistema sem a necessidade de pedir permissões. A segunda é do tipo divulgação de informações, ou seja, uma aplicativo poderiam acessar informações confidenciais ou protegidas. Por enquanto, o Google ainda não compartilhou informações sobre os mecanismos exatos.
Uma correção já disponível para smartphones Pixel
Os smartphones Pixel já podem instalar a atualização de segurança de dezembro que contém a correção para essas duas falhas, bem como para uma centena de outras vulnerabilidades com níveis de gravidade diferente. Outros smartphones Android não recebem atualizações diretamente do Google. A empresa os envia para diversos fabricantes, que os distribuem para seus aparelhos. Os celulares de outras marcas receberão, portanto, atualizações de acordo com um cronograma decidido pelo fabricante. A Samsung também anunciou a atualização, mas a implantação está acontecendo aos poucos ao longo de um mês. Alguns usuários podem, portanto, não receber o patch até o final de dezembro.
Estas duas falhas são suficientemente graves para que a Agência de Segurança Cibernética e de Infraestruturas (CISA) dos Estados Unidos as tenha adicionado ao seu catálogo de vulnerabilidades conhecidas. Todas as agências federais devem ter o patch instalado até 23 de dezembro, e a agência incentiva todas as organizações a fazerem o mesmo.
Independentemente da marca do telefone, todos os usuários devem atualizar o dispositivo assim que o patch estiver disponível.