Google稍早推送12月安全更新，除了与Pixel Drop一同发布，也带来罕见规模的安全修补，总计修补107项Android生态系漏洞。其中两项已遭攻击者利用的零日漏洞，被安全圈视为本月最需优先处理的风险。

据Google公布的2025年12月Android安全公告，两个正在被利用的高风险漏洞分别为：

Google也同时修补另一个严重漏洞CVE-2025-48631，攻击者可在无需用户操作的情况下远程让手机设备宕机。Google未公布攻击细节，只以“有限、目标性攻击”描述现况，显示威胁仍在扩散前的早期阶段。

但情况已足以惊动美国网络安全暨基础设施安全局（CISA），该机构已将这两项漏洞列入“必须修补”清单，要求联邦机构必须在12月23日前强制更新。

尽管修补已推出，但在Android生态系中，更新能否及时送达到各设备仍取决于品牌与电信商的审核速度。相比苹果能在iOS上快速推送安全更新，Android的碎片化问题再次浮上台面，Pixel设备可立即取得更新，但三星、Motorola等品牌可能需等上数日甚至数周。

安全专家提醒，由于零日攻击通常会在曝光后加速扩散，用户应主动前往设置检查更新，而非等待推送通知。

在攻击已经发生的情况下，此次安全更新对所有Android用户都属高优先级。若仍未取得更新，建议在此期间更加留意敏感行为，例如银行App的异常活动，并避免在不明Wi-Fi或不可信环境下执行重要操作。

（首图来源：Google官方博客）