Google ha ufficialmente rilasciato il bollettino di sicurezza Android per dicembre 2025, un aggiornamento particolarmente corposo che mira a risolvere ben 107 vulnerabilità distribuite tra il Kernel Android, i componenti di sistema e il Framework, oltre a falle nei componenti di Qualcomm, MediaTek, Arm, Unisoc e Imagination Technologies.
Questo massiccio aggiornamento rappresenta uno sforzo significativo per proteggere l’ecosistema Android da minacce di sicurezza diffuse. Le vulnerabilità affrontate includono falle di Denial of Service, Elevation of Privilege e Information Disclosure, con diverse vulnerabilità classificate come critiche.
Due zero-day attivamente sfruttate
Tra le vulnerabilità risolte figurano due zero-day particolarmente preoccupanti: CVE-2025-48633 e CVE-2025-48572. Queste falle sono state identificate come già sfruttate attivamente in attacchi mirati e limitati.
CVE-2025-48633 è una vulnerabilità di Information Disclosure nel Framework Android, causata da una gestione impropria delle autorizzazioni che consentirebbe a utenti malintenzionati di accedere a dati sensibili senza privilegi adeguati.
CVE-2025-48572 è invece una vulnerabilità di Elevation of Privilege, sempre nel Framework di Android, dovuta a un difetto nella gestione dei permessi che potrebbe permettere a un utente malevolo di ottenere privilegi di sistema senza autorizzazione.
Entrambe le falle colpiscono le versioni di Android dalla 13 alla 16, coprendo la stragrande maggioranza dei dispositivi moderni attualmente in circolazione.
Struttura dell’aggiornamento di sicurezza
L’aggiornamento di dicembre è stato strutturato in due livelli patch distinti:
Livello patch 2025-12-01: Questo primo blocco affronta 51 vulnerabilità relative al Framework Android e ai componenti di sistema. Tra queste spicca CVE-2025-48631, classificata come la più critica del mese in termini di gravità teorica. Si tratta di una falla Denial-of-Service nel Framework Android che potrebbe portare all’instabilità o al blocco del dispositivo senza richiedere privilegi aggiuntivi.
Livello patch 2025-12-05: Il secondo blocco corregge 56 bug situati nel Kernel e in componenti chiusi di terze parti.
Come mantenere aggiornato il vostro dispositivo Android
È fondamentale implementare le patch di sicurezza non appena disponibili. Se ricevete una notifica di aggiornamento, seguite le indicazioni per scaricare e installare l’aggiornamento.
Potete verificare manualmente la disponibilità di aggiornamenti seguendo il percorso: Impostazioni > Sistema > Aggiornamento sistema (il percorso esatto può variare leggermente a seconda del vostro dispositivo).
I patch di dicembre si applicano alle versioni AOSP 13, 14, 15 e 16 con date di patch 2025-12-01 e 2025-12-05. Il livello patch del 5 dicembre risolve tutti i problemi noti.
Distribuzione degli aggiornamenti
Gli utenti Pixel ricevono gli aggiornamenti direttamente da Google, mentre gli utenti di altri dispositivi Android da produttori come Samsung, Motorola, Huawei, LGE e Nokia dovrebbero ricevere gli aggiornamenti dai rispettivi produttori all’incirca nello stesso periodo.
Google consiglia a tutti gli utenti di eseguire l’aggiornamento all’ultima versione di Android disponibile per i loro dispositivi, poiché i miglioramenti nelle versioni più recenti della piattaforma rendono lo sfruttamento di molte vulnerabilità notevolmente più difficile.
