O Google lançou, no seu Boletim de Segurança de novembro de 2025, uma atualização que corrige duas vulnerabilidades graves na componente Sistema do Android, uma delas classificada como crítica e potencialmente explorável para execução remota de código.

A principal falha, identificada como CVE-2025-48593, afeta diversas versões do Android Open Source Project (AOSP), da 13 à 16, e permite que um atacante execute código malicioso sem necessidade de privilégios adicionais ou interação do utilizador. Devido à natureza dessa vulnerabilidade, o risco é elevado, podendo resultar em roubo de dados, instalação de ransomware ou até na transformação do dispositivo comprometido em um nó de botnet.

Embora a Google não tenha relatado exploração ativa desta falha em ataques reais, a empresa destaca que o potencial de impacto é severo, dada a quantidade de informações sensíveis processadas pelos dispositivos Android em todo o mundo.

Outra vulnerabilidade corrigida neste ciclo de atualizações é a CVE-2025-48581, que afeta a versão 16 do sistema operativo. De acordo com o NIST (National Institute of Standards and Technology), a falha ocorre na função VerifyNoOverlapInSessions do ficheiro apex.cpp, e pode ser explorada para bloquear atualizações de segurança ou permitir escalação de privilégios locais sem necessidade de permissões adicionais.

Com estas correções, a Google também anunciou uma mudança no formato das atualizações mensais, que passam a ser distribuídas com apenas um nível de correções de segurança, simplificando o processo de atualização para fabricantes e utilizadores finais.

As correções já estão disponíveis para os dispositivos compatíveis, e a recomendação é que todos os utilizadores do Android mantenham o sistema atualizado para garantir a máxima proteção contra possíveis explorações dessas vulnerabilidades.

Para saber mais, clique aqui.