Hai lỗ hổng được phát hiện khi bị khai thác trong các cuộc tấn công zero-day là CVE-2025-38352, một lỗi leo thang đặc quyền trong nhân Android, và CVE-2025-48543, cũng là một lỗi leo thang đặc quyền trong thành phần Android Runtime.

Được biết, Android Runtime là môi trường thời gian chạy mặc định trên các thiết bị Android phiên bản 5.0 trở lên, được thiết kế để thực thi các ứng dụng và dịch vụ hệ thống.  Google đã lưu ý trong bản tin của mình rằng, có dấu hiệu cho thấy hai lỗ hổng này có thể đang bị khai thác hạn chế, có mục tiêu, nhưng không chia sẻ thêm chi tiết.

CVE-2025-38352 là một lỗ hổng trong nhân Linux được phát hiện lần đầu vào ngày 22/7/2025, đã được sửa trong các phiên bản nhân 6.12.35-1 trở lên. Trước đó, lỗ hổng này không được đánh dấu là bị khai thác chủ động.

Lỗ hổng này là tình trạng chạy đua trong bộ đếm thời gian CPU POSIX, cho phép gián đoạn việc dọn dẹp tác vụ và làm mất ổn định trong nhân hệ điều hành (kernel), có khả năng dẫn đến sự cố, từ chối dịch vụ và leo thang đặc quyền.

CVE-2025-48543 ảnh hưởng đến Android Runtime, nơi các ứng dụng Java/Kotlin và dịch vụ hệ thống thực thi. Nó có khả năng cho phép ứng dụng độc hại vượt qua các hạn chế hộp cát và truy cập các chức năng hệ thống cấp cao hơn. Ngoài hai lỗ hổng đang bị khai thác tích cực, bản cập nhật tháng 9/2025 của Google dành cho Android cũng giải quyết bốn vấn đề nghiêm trọng.

Lỗ hổng đầu tiên là CVE-2025-48539, một vấn đề thực thi mã từ xa (RCE) trong thành phần Hệ thống của Android. Lỗ hổng này cho phép kẻ tấn công trong phạm vi vật lý hoặc mạng, chẳng hạn như Bluetooth hoặc WiFi, thực thi mã tùy ý trên thiết bị mà không cần bất kỳ tương tác hoặc đặc quyền nào của người dùng.

Ba lỗ hổng nghiêm trọng khác là CVE-2025-21450, CVE-2025-21483 và CVE-2025-27034, tất cả đều ảnh hưởng đến các thành phần chip độc quyền của Qualcomm. Theo thông tin chi tiết bổ sung do Qualcomm cung cấp qua bản tin, CVE-2025-21483 là một lỗ hổng làm hỏng bộ nhớ trong ngăn xếp mạng dữ liệu, xảy ra khi ghép lại video (NALU) từ các gói RTP.

Kẻ tấn công có thể gửi lưu lượng mạng được thiết kế đặc biệt, kích hoạt ghi ngoài giới hạn, cho phép thực thi mã từ xa mà không cần sự tương tác của người dùng. CVE-2025-27034 là một lỗi xác thực chỉ mục mảng trong bộ xử lý cuộc gọi đa chế độ trong quá trình lựa chọn mạng di động công cộng mặt đất (PLMN) từ danh sách lỗi SOR (Kích thích – Chủ thể - Phản ứng).

Các phản hồi mạng độc hại hoặc không đúng định dạng có thể làm hỏng bộ nhớ và cho phép thực thi mã trong băng tần cơ sở của modem.

Tổng cộng, bản vá Android này bao gồm các bản sửa lỗi cho 27 thành phần chip Qualcomm, nâng tổng số lỗi đã được vá lên 111. Tuy nhiên, những bản vá này không áp dụng cho các thiết bị chạy chip của các nhà sản xuất khác.

Đối với các thiết bị sử dụng chip MediaTek, thông tin chi tiết về các bản sửa lỗi bảo mật mới nhất có sẵn trên bản tin của nhà cung cấp chip. Bản cập nhật bảo mật Android mới nhất này bao gồm các lỗ hổng ảnh hưởng đến hệ điều hành Android 13 đến 16, mặc dù không phải tất cả các lỗ hổng đều ảnh hưởng đến mọi phiên bản hệ điều hành di động.

Hành động được khuyến nghị là nâng cấp lên bản vá bảo mật cấp độ 2025-09-01 hoặc 2025-09-05 bằng cách vào Cài đặt > Hệ thống > Cập nhật phần mềm > Cập nhật hệ thống > và nhấp vào 'Kiểm tra bản cập nhật'.

Người dùng đang chạy Android 12 trở về trước nên thay thế thiết bị của mình bằng một mẫu mới hơn được hỗ trợ tích cực hoặc sử dụng bản phân phối Android của bên thứ ba tích hợp các bản cập nhật bảo mật mới nhất.

Samsung cũng đã phát hành bản cập nhật bảo trì tháng 9 cho các thiết bị hàng đầu của mình, bao gồm các bản sửa lỗi cho các lỗ hổng cụ thể đối với các thành phần tùy chỉnh, chẳng hạn như One UI.

Hà Linh