Google heeft tijdens de laatste patchronde van dit jaar beveiligingsupdates voor Android uitgebracht. Deze updates verhelpen onder andere twee kwetsbaarheden die actief worden aangevallen. Ook is er een kritiek lek gepatcht dat remote denial of service-aanvallen op Androidtelefoons mogelijk maakt. De updates zijn beschikbaar voor Android-versies 13 tot en met 16.

De twee kwetsbaarheden die actief worden aangevallen, zijn CVE-2025-48633 en CVE-2025-48572, beide in het Android Frame. CVE-2025-48633 kan leiden tot 'information disclosure', maar Google geeft geen details over welke informatie dit betreft. CVE-2025-48572 stelt een aanvaller met toegang tot een Androidtelefoon of een malafide app in staat om zijn rechten te verhogen. Google verstrekt geen verdere details over deze kwetsbaarheden of de aanvallen. De ernstigste kwetsbaarheid die deze maand is verholpen, is CVE-2025-48631, die remote denial of service mogelijk maakt zonder speciale rechten. Ook hierover geeft Google geen verdere informatie. Androidtoestellen die de december-updates ontvangen, krijgen een patchniveau van '2025-12-01' of '2025-12-05'. Fabrikanten moeten alle updates van het Android-bulletin van december in hun eigen updates opnemen om dit patchniveau te bereiken. Google heeft fabrikanten minstens een maand geleden geïnformeerd over de kwetsbaarheden, zodat zij updates konden ontwikkelen. Niet alle Androidtoestellen zullen deze updates ontvangen, omdat sommige niet meer worden ondersteund of de updates later worden uitgebracht.