2025年8月5日Ravie Lakshmanan脆弱性 / モバイルセキュリティ
Googleは、実際に悪用されていると報告された2つのQualcommのバグの修正を含む、Androidの複数のセキュリティ脆弱性に対応するセキュリティアップデートを公開しました。
これらの脆弱性には、CVE-2025-21479(CVSSスコア: 8.6)およびCVE-2025-27038(CVSSスコア: 7.5)が含まれており、どちらも2025年6月にチップメーカーによってCVE-2025-21480(CVSSスコア: 8.6)とともに公開されました。
CVE-2025-21479は、Graphicsコンポーネントにおける不適切な認可の脆弱性であり、GPUマイクロコード内での不正なコマンド実行によりメモリ破損を引き起こす可能性があります。
一方、CVE-2025-27038はGraphicsコンポーネントにおけるuse-after-freeの脆弱性であり、ChromeでAdreno GPUドライバーを使用してグラフィックスをレンダリングする際にメモリ破損を引き起こす可能性があります。
これらの脆弱性が実際の攻撃でどのように武器化されたかについての詳細はまだ明らかになっていませんが、Qualcommは当時「Google Threat Analysis Groupから、CVE-2025-21479、CVE-2025-21480、CVE-2025-27038が限定的かつ標的型の悪用を受けている可能性があるとの指摘があった」と述べています。
過去にVaristonやCy4Gateのような商用スパイウェアベンダーがQualcommチップセットの類似の脆弱性を悪用していたことから、これらの脆弱性も同様の文脈で悪用された可能性があると考えられています。
これら3つの脆弱性は、その後、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の既知の悪用脆弱性(KEV)カタログに追加されており、連邦機関は2025年6月24日までにアップデートを適用することが求められています。
Googleの2025年8月パッチでは、Android Frameworkの2つの高深刻度の権限昇格の脆弱性(CVE-2025-22441およびCVE-2025-48533)と、追加の権限やユーザー操作を必要とせず、他の脆弱性と組み合わせることでリモートコード実行が可能となるSystemコンポーネントの重大なバグ(CVE-2025-48530)も修正されています。
この大手テクノロジー企業は、2025-08-01および2025-08-05の2つのパッチレベルを提供しており、後者にはArmおよびQualcommのクローズドソースおよびサードパーティ製コンポーネントの修正も含まれています。Androidデバイスのユーザーは、潜在的な脅威から身を守るため、アップデートが利用可能になり次第、適用することが推奨されています。
翻訳元: https://thehackernews.com/2025/08/google-fixes-3-android-vulnerabilities.html