Google corrige 107 brechas do Android e reconhece duas já em uso por invasores

brechas do Android

O Google disponibilizou um novo pacote de segurança para o seu sistema operacional móvel que elimina 107 brechas do Android, sendo que duas vulnerabilidades de alta gravidade, catalogadas como CVE-2025-48633 e CVE-2025-48572, já vinham sendo exploradas de forma restrita e direcionada. A atualização chegou aos usuários na segunda-feira, 1º de dezembro, e envolve componentes variados do software, com ênfase no Framework.

Google lidera ação para sanar brechas do Android

A iniciativa parte diretamente da equipe de engenharia de segurança do Google, responsável pela manutenção contínua do sistema. Ao publicar o patch, a companhia confirma a existência de 107 falhas distribuídas por múltiplas camadas da plataforma e formaliza a correção em boletim específico para dezembro de 2025. Trata-se de um movimento habitual dentro do ciclo de manutenção do Android, mas o volume de ajustes e a presença de falhas já ativamente abusadas conferem caráter de prioridade à liberação.

O documento técnico emitido pela empresa detalha que esses problemas afetam não apenas o núcleo do sistema, mas também outros módulos interligados, exigindo ampla verificação para assegurar que a integridade do software seja restabelecida em todos os dispositivos com suporte ativo. Ainda segundo o Google, a revelação pública permanece limitada para evitar que agentes maliciosos ampliem as tentativas de exploração enquanto a distribuição do patch não se completa.

Panorama completo das 107 brechas do Android

A lista de vulnerabilidades corrigidas é extensa e cobre desde elementos essenciais de execução até serviços de camada superior. Ao todo, 107 brechas do Android constam no boletim de dezembro, cada uma identificada por um código CVE único e classificada segundo a gravidade. Esse conjunto variado demonstra como problemas de segurança podem surgir em diferentes pontos do ecossistema, reforçando a necessidade de monitoramento constante.

Embora a maior parte dos defeitos não tenha sido alvo de exploração conhecida, a empresa opta por disponibilizar todas as correções em um único pacote, facilitando a aplicação e reduzindo janelas de risco. O usuário, ao instalar a atualização, recebe a mitigação simultânea para cada um dos 107 itens, abrangendo ameaças potenciais que vão desde a elevação de privilégios até vazamentos de informações sensíveis.

Duas falhas exploradas no Framework do Android recebem atenção redobrada

Entre as brechas do Android agora resolvidas, as CVE-2025-48633 e CVE-2025-48572 merecem destaque. As duas afetavam diretamente o componente Framework, núcleo que intermedia diversas funcionalidades do sistema, e foram categorizadas com nível de gravidade alto. Segundo o Google, há indícios de exploração limitada e precisa, possivelmente direcionada a alvos específicos, embora detalhes técnicos não tenham sido divulgados.

O motivo de a companhia restringir informações adicionais segue a prática de reduzir a exposição de dados que poderiam facilitar novos ataques. Enquanto isso, a própria notificação de que as falhas estavam ativamente em uso serve como alerta para fabricantes e usuários sobre a urgência na aplicação do patch.

Atuação da CISA e prazo para órgãos federais dos EUA

No dia 2 de dezembro, a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou as duas falhas exploradas ao seu catálogo Known Exploited Vulnerabilities (KEV). Esse repositório registra vulnerabilidades comprovadamente usadas por atacantes e funciona como referência oficial para priorização de correções em ambientes governamentais.

A inclusão no KEV veio acompanhada de uma ordem: todas as entidades da Federal Civilian Executive Branch (FCEB) devem aplicar a atualização até 23 de dezembro de 2025. De acordo com a CISA, vulnerabilidades desse porte compõem vetores de ataque recorrentes e representam ameaça substancial às operações da administração federal. Ao estabelecer uma data limite, a agência busca padronizar a mitigação dentro do prazo considerado seguro.

Processo de distribuição do patch e responsabilidade das fabricantes

A partir da liberação oficial do Google, inicia-se a etapa de adaptação do pacote por parte das fabricantes de aparelhos. Cada fornecedor precisa integrar as correções ao firmware específico de seus modelos com suporte ativo. Esse procedimento garante compatibilidade com drivers, interfaces e customizações próprias de cada linha de produto.

Somente depois dessa adequação o patch chega de fato ao consumidor final por meio de atualização OTA (over the air) ou interfaces de serviço equivalentes. Por isso, o lapso de tempo entre o anúncio do Google e a disponibilidade real para download pode variar entre marcas e até entre modelos da mesma marca.

A recomendação universal permanece clara: instalar a atualização assim que o dispositivo indicar a sua chegada. Esse passo é crucial para eliminar as brechas do Android corrigidas, incluindo as duas já exploradas, e reduzir a superfície de ataque a que o usuário está exposto.

O que esperar após o boletim de dezembro de 2025

Com o boletim de dezembro disponível, a execução dos reparos entra na fase crítica de distribuição global. Usuários devem acompanhar as notificações do próprio sistema ou consultar o suporte de suas fabricantes para verificar a liberação. Órgãos federais norte-americanos, por sua vez, têm até 23 de dezembro para comprovar a implantação efetiva, conforme determinação da CISA.

Enquanto isso, o Google segue a prática de não divulgar detalhes técnicos pormenorizados das falhas até que a maioria dos dispositivos esteja protegida, procedimento que tradicionalmente leva algumas semanas. Esse selo de confidencialidade temporária visa evitar que agentes mal-intencionados aproveitem dados técnicos para expandir tentativas de exploração antes da conclusão da atualização mundial.

O próximo evento relevante, portanto, é justamente a data limite imposta pela CISA, 23 de dezembro de 2025, quando se espera que o ecossistema governamental dos Estados Unidos tenha a correção plenamente aplicada.