Google merilis pembaruan keamanan Android September 2025 yang menutup 84 kerentanan, di antaranya dua celah yang telah dieksploitasi aktif dalam serangan zero-day.
Dua celah yang dimaksud adalah:
- CVE-2025-38352 → kerentanan elevation of privilege di kernel Android. Celah ini berasal dari kondisi race pada POSIX CPU timers yang memungkinkan gangguan pembersihan tugas, destabilisasi kernel, potensi crash, penolakan layanan (DoS), hingga eskalasi hak akses. Kerentanan ini pertama kali diungkap pada 22 Juli 2025 dan diperbaiki pada kernel versi 6.12.35-1 ke atas, namun baru dikonfirmasi sebagai dieksploitasi.
- CVE-2025-48543 → kerentanan elevation of privilege di Android Runtime. Celah ini memungkinkan aplikasi berbahaya melewati sandbox dan memperoleh akses ke kapabilitas sistem tingkat tinggi.
Google menyebut kedua celah ini sedang dieksploitasi secara terbatas dan terarah, meski tanpa merinci lebih jauh.
Selain itu, update September juga memperbaiki empat kerentanan dengan tingkat keparahan kritis:
- CVE-2025-48539 → remote code execution (RCE) di komponen sistem Android. Penyerang dapat mengeksekusi kode berbahaya lewat koneksi Bluetooth atau WiFi tanpa interaksi pengguna.
- CVE-2025-21450, CVE-2025-21483, CVE-2025-27034 → celah kritis pada komponen milik Qualcomm. Salah satunya, CVE-2025-21483, adalah bug korupsi memori pada data network stack ketika menyusun ulang video dari paket RTP. Celah ini memungkinkan eksekusi kode jarak jauh tanpa interaksi pengguna.
Secara total, pembaruan ini mencakup 111 perbaikan, termasuk 27 khusus untuk komponen Qualcomm. Untuk perangkat berbasis MediaTek, rincian perbaikan tersedia pada buletin keamanan vendor tersebut.
Pembaruan ini berlaku untuk Android 13 hingga Android 16, meski tidak semua perangkat terdampak oleh semua celah. Google menyarankan pengguna memperbarui ke patch level 2025-09-01 atau 2025-09-05 melalui menu:Settings > System > Software updates > System update > Check for update
Bagi pengguna Android 12 ke bawah, disarankan beralih ke perangkat yang masih mendapat dukungan resmi, atau menggunakan distribusi Android pihak ketiga yang menyertakan patch terbaru. Samsung juga telah merilis pembaruan September untuk perangkat andalannya, termasuk perbaikan pada komponen khusus One UI.