Consorzio Metis

CSIRT Toscana

CSIRT Toscana

Aggiornamenti di sicurezza Android (AL01/251202/CSIRT-ITA)

Data:
2 Dicembre 2025

Impatto Sistemico

Critico (76.66)

Sintesi

Google ha rilasciato gli aggiornamenti di sicurezza di dicembre per sanare diverse vulnerabilità, tra cui due 0-day, che interessano il sistema operativo Android.

Tipologia

  • Denial of Service
  • Elevation of Privilege
  • Information Disclosure

Descrizione e potenziali impatti

Google ha rilasciato gli aggiornamenti di sicurezza di dicembre per sanare diverse vulnerabilità, tra cui due 0-day, che interessano il sistema operativo Android. Di seguito, i dettagli relativi alle due 0-day identificate con CVE-2025-48633 e CVE-2025-48572.

CVE-2025-48572 : vulnerabilità di tipo “Elevation of Privilege”, presente nel Framework di Android, responsabile della gestione di API e servizi di sistema. Tale vulnerabilità è dovuta ad un difetto nella gestione dei permessi che consentirebbe ad un utente malevolo di ottenere privilegi di sistema senza autorizzazione.

CVE-2025-48633 : vulnerabilità di tipo “Information Disclosure”, presente nel Framework di Android, responsabile della gestione di API e servizi di sistema. Tale vulnerabilità è causata da una gestione impropria delle autorizzazioni all’interno del framework che consentirebbe ad un utente malevolo l’accesso a dati sensibili senza privilegi adeguati.

Prodotti e versioni affette

Android 13, 14, 15, 16 con patch di sicurezza precedenti a dicembre 2025.

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di applicare le patch seguendo le indicazioni riportate nel bollettino di sicurezza, disponibile nella sezione Riferimenti.

Riferimenti

CVE

CVE-ID
CVE-2023-40130 CVE-2024-35970 CVE-2025-11131 CVE-2025-11132
CVE-2025-11133 CVE-2025-20725 CVE-2025-20726 CVE-2025-20727
CVE-2025-20730 CVE-2025-20750 CVE-2025-20751 CVE-2025-20752
CVE-2025-20753 CVE-2025-20754 CVE-2025-20755 CVE-2025-20756
CVE-2025-20757 CVE-2025-20758 CVE-2025-20759 CVE-2025-20790
CVE-2025-20791 CVE-2025-20792 CVE-2025-22420 CVE-2025-22432
CVE-2025-25177 CVE-2025-27053 CVE-2025-27054 CVE-2025-27070
CVE-2025-27074 CVE-2025-3012 CVE-2025-31717 CVE-2025-31718
CVE-2025-32319 CVE-2025-32328 CVE-2025-32329 CVE-2025-38236
CVE-2025-38349 CVE-2025-38500 CVE-2025-46711 CVE-2025-47319
CVE-2025-47323 CVE-2025-47351 CVE-2025-47354 CVE-2025-47370
CVE-2025-47372 CVE-2025-47382 CVE-2025-48525 CVE-2025-48536
CVE-2025-48555 CVE-2025-48564 CVE-2025-48565 CVE-2025-48566
CVE-2025-48572 CVE-2025-48573 CVE-2025-48575 CVE-2025-48576
CVE-2025-48580 CVE-2025-48583 CVE-2025-48584 CVE-2025-48586
CVE-2025-48588 CVE-2025-48589 CVE-2025-48590 CVE-2025-48591
CVE-2025-48592 CVE-2025-48594 CVE-2025-48596 CVE-2025-48597
CVE-2025-48598 CVE-2025-48599 CVE-2025-48600 CVE-2025-48601
CVE-2025-48603 CVE-2025-48604 CVE-2025-48607 CVE-2025-48610
CVE-2025-48612 CVE-2025-48614 CVE-2025-48615 CVE-2025-48617
CVE-2025-48618 CVE-2025-48620 CVE-2025-48621 CVE-2025-48622
CVE-2025-48623 CVE-2025-48624 CVE-2025-48626 CVE-2025-48627
CVE-2025-48628 CVE-2025-48629 CVE-2025-48631 CVE-2025-48632
CVE-2025-48633 CVE-2025-48637 CVE-2025-48638 CVE-2025-48639
CVE-2025-58410 CVE-2025-61607 CVE-2025-61608 CVE-2025-61609
CVE-2025-61610 CVE-2025-61617 CVE-2025-61618 CVE-2025-61619
CVE-2025-6349 CVE-2025-6573 CVE-2025-8045

Change log

Versione Note Data
1.0 Pubblicato il 02-12-2025 02/12/2025

Il presente articolo è un prodotto originale di csirt.gov.it, riproposto qui a solo scopo di aumentarne la visibilità. Può essere visualizzato in versione originale al seguente link

Ultimo aggiornamento

2 Dicembre 2025, 10:15