Samsungは、同社のAndroidデバイスを標的としたゼロデイ攻撃で悪用されていたリモートコード実行の脆弱性を修正しました。
CVE-2025-21043として追跡されているこの重大なセキュリティ脆弱性は、Android 13以降を搭載したSamsungデバイスに影響し、MetaおよびWhatsAppのセキュリティチームによって8月13日に報告されました。
Samsungが最近更新されたアドバイザリで説明しているように、この脆弱性はlibimagecodec.quram.so(Quramsoftが開発したクローズドソースの画像解析ライブラリで、さまざまな画像フォーマットをサポート)で発見されました。これはバッファオーバーフロー(範囲外書き込み)の脆弱性によるもので、攻撃者が脆弱なデバイス上でリモートから悪意のあるコードを実行できるようになります。
「SMR Sep-2025 Release 1以前のlibimagecodec.quram.soにおける範囲外書き込みにより、リモートの攻撃者が任意のコードを実行できる可能性があります」とSamsungは述べています。「この問題に対するエクスプロイトが既に野生で存在していることがSamsungに通知されました。」
同社は、攻撃がSamsung AndroidデバイスのWhatsAppユーザーのみに向けられていたかどうかは明らかにしていませんが、脆弱な画像解析ライブラリを利用している他のインスタントメッセンジャーもCVE-2025-21043のエクスプロイトによって標的にされる可能性があります。
8月下旬、WhatsAppはiOSおよびmacOSのメッセージングクライアントにおいて、ゼロクリック脆弱性(CVE-2025-55177)も修正しました。この脆弱性は、Appleのゼロデイ脆弱性(CVE-2025-43300)と組み合わせて、「非常に高度な」標的型ゼロデイ攻撃で利用されていました。
WhatsAppは当時、影響を受ける可能性のあるユーザーに対し、デバイスとソフトウェアを最新の状態に保ち、デバイスを工場出荷時設定にリセットするよう呼びかけていました。
AppleおよびWhatsAppは、CVE-2025-55177とCVE-2025-43300を組み合わせた攻撃の詳細を公表していませんが、アムネスティ・インターナショナルのセキュリティラボ責任者であるDonncha Ó Cearbhaill氏は、WhatsAppが一部のユーザーに対し、デバイスが高度なスパイウェアキャンペーンの標的になったと警告したと述べています。
SamsungおよびMetaの広報担当者は、BleepingComputerが本日早くに問い合わせた際、すぐにはコメントを得られませんでした。
今月初め、ハッカーはSamsung MagicINFO 9 Serverの認証不要なリモートコード実行(RCE)脆弱性(CVE-2024-7399)に対してパッチが適用されていないデバイスにマルウェアを展開し始めました。MagicINFO 9 Serverは、空港、小売チェーン、病院、企業、レストランなどで利用されている集中型コンテンツ管理システム(CMS)です。
