Googleは2026年6月のAndroidセキュリティアップデートを発表しました。今回のアップデートでは多数の脆弱性が修正されており、その中にはAndroid Frameworkに存在する高深刻度の脆弱性(CVE-2025-48595)も含まれています。この脆弱性は「限定的・標的型の悪用が行われている可能性がある」とされています。
CVE-2025-48595の概要
CVE-2025-48595は、アプリが直接やり取りするAPIとシステムサービスの集合体であるAndroid Frameworkに存在する整数オーバーフローの脆弱性です。
攻撃者はこの脆弱性を悪用することで、脆弱なデバイス上で権限を昇格させ、デバイスおよびそこに保存されたデータへの完全なアクセス権を取得できる可能性があります。
悪用にあたってユーザーの操作は必要なく、攻撃ベクターはローカルです。このことから、標的となったユーザーをだましてインストールさせた悪意のあるアプリを通じて悪用されているものと考えられます。
CVE-2025-48595はAndroid 14、15、16、および16-qpr2(Quarterly Platform Release 2)のすべてに影響します。
NVDに掲載されているこの脆弱性の説明によると、脆弱なコードパスが複数存在するようです。Googleのパッチがそれらすべてを塞いでいることが期待されます。
その他の修正対象脆弱性
2026年6月のセキュリティアップデートでは、Android Framework、System(Androidのコアデーモンおよびサービス)、Google Playシステムコンポーネント、Linuxカーネル、サードパーティ製チップセットコンポーネントに存在するその他の重大度「Critical」および「High」の脆弱性も修正されます。
Android OSコア部分の修正はパッチレベル2026-06-01で提供され、パッチレベル2026-06-05以降を適用したデバイスでは、カーネルやチップセットコンポーネントに関する修正を含む完全なセキュリティ修正が適用されます。
「セキュリティ情報の公開に先立ち、すべての問題をAndroidパートナーに少なくとも1か月前に通知しています」とGoogleは説明しており、Androidデバイスおよびチップセットメーカーも自社製品固有のセキュリティ脆弱性情報を公開する場合があるとしています。
「この情報の初回公開から48時間以内に、対応するソースコードパッチをAndroid Open Source Project(AOSP)リポジトリに公開する予定です」と同社は補足しています。
翻訳元: https://www.helpnetsecurity.com/2026/06/02/android-vulnerability-exploited-cve-2025-48595/
