Google ปิดช่องโหว่ Zero-Day 2 รายใน Android ที่ถูกโจมตีจริง พร้อมแพตช์ความปลอดภัย 107 จุด

Google ออกอัปเดตความปลอดภัยประจำเดือนธันวาคม 2025 สำหรับอุปกรณ์แอนดรอยด์ โดยแก้ไขช่องโหว่รวม 107 จุด รวมถึงช่องโหว่ Zero-Day 2 รายที่มีหลักฐานการถูกใช้โจมตีจริงในการโจมตีแบบกำหนดเป้าหมายแล้ว

Zero-Day สองรายการที่ถูกโจมตีจริง

ช่องโหว่ทั้งสองอยู่ในระดับความรุนแรงสูง ได้แก่ CVE-2025-48633 ซึ่งเป็นช่องโหว่การเปิดเผยข้อมูล และ CVE-2025-48572 ซึ่งเป็นช่องโหว่การยกระดับสิทธิ์ โดยส่งผลกระทบต่อแอนดรอยด์เวอร์ชัน 13 ถึง 16 Google ระบุในบทสรุปความปลอดภัยว่า “มีข้อบ่งชี้ว่าช่องโหว่เหล่านี้อาจถูกใช้โจมตีอย่างจำกัดและมีเป้าหมายเฉพาะ” แม้จะไม่เปิดเผยรายละเอียดทางเทคนิค แต่ช่องโหว่ในลักษณะนี้มักถูกใช้โดยสปายแวร์เชิงพาณิชย์หรือการโจมตีจากรัฐบาลที่เล็งเป้าบุคคลสำคัญ

ช่องโหว่วิกฤตและการแพตช์ครอบคลุม

ช่องโหว่ที่มีความรุนแแรงสูงสุดในเดือนนี้คือ CVE-2025-48631 ซึ่งเป็นช่องโหว่ DoS (Denial-of-Service) ใน Android Framework การอัปเดตครั้งนี้แก้ไขช่องโหว่รวม 51 จุดใน Framework และ System Components ภายใต้ Patch Level 2025-12-01 อีก 56 บักใน Kernel และคอมโพเนนต์ของบุคคลที่สาม ภายใต้ Patch Level 2025-12-05 โดยเฉพาะอย่างยิ่งมีการแก้ไขระดับวิกฤต 4 จุดสำหรับช่องโหว่การยกระดับสิทธิ์ใน Kernel subcomponents และอีก 2 จุดสำหรับอุปกรณ์ที่ใช้ชิป Qualcomm

การอัปเดตครอบคลุมอุปกรณ์ที่ใช้แอนดรอยด์ 13 ขึ้นไป แต่อุปกรณ์ที่ใช้แอนดรอยด์ 10 ขึ้นไปอาจได้รับการแก้ไขสำคัญผ่านระบบ Google Play ผู้ใช้ทุกเวอร์ชันควรเปิดใช้งาน Play Protect ให้ทันสมัยเพื่อตรวจจับและบล็อกมัลแวร์และการโจมตีที่ทราบ สำหรับผู้ใช้แอนดรอยด์เวอร์ชันเก่า Google แนะนำให้เปลี่ยนไปใช้ Custom ROM ที่อัปเดตแพตช์ความปลอดภัยอย่างสม่ำเสมอ หรือเปลี่ยนอุปกรณ์ใหม่ที่ยังได้รับการสนับสนุน

ที่มา