Googleは月曜日、最新のAndroidアップデートを発表しました。今回のアップデートには、標的型攻撃で悪用されたゼロデイを含む124件の脆弱性に対するパッチが含まれています。
悪用された脆弱性はCVE-2025-48595で、GoogleはこれをAndroidのFrameworkコンポーネントに影響する深刻度「高」の権限昇格の問題と説明しています。
「CVE-2025-48595は限定的な標的型悪用が行われている可能性がある」と、Googleはアドバイザリの中で述べています。
CVE-2025-48595を悪用した攻撃に関する詳細情報は、現時点では確認されていません。
ただし、商用スパイウェアベンダーは、Androidデバイスを標的にしたゼロデイ悪用の大部分を担う存在となっており、主に政府系クライアント向けに高度な攻撃チェーンを開発・販売しています。こうした悪用手法を発見するのは、Google自身の研究者であることが少なくありません。
最新のAndroidバージョンでパッチが適用されたその他の脆弱性のうち、18件は深刻度「クリティカル」と評価されています。これらはFramework、System、QualcommのクローズドソースコンポーネントなどのAndroidコンポーネントに影響し、悪用されると権限昇格やサービス拒否(DoS)につながる可能性があります。
残りの問題はすべて深刻度「高」と評価されています。影響を受けるコンポーネントはSystem、Framework、Kernel、およびImagination Technologies、MediaTek、Unisoc、Qualcommが提供するコンポーネントです。
大多数は権限昇格やDoS攻撃に悪用される可能性があり、一部は情報漏洩につながる恐れがあります。
このうちリモートコード実行に悪用される可能性があるのは、CVE-2026-0059として追跡されているSystemの脆弱性1件のみです。
翻訳元: https://www.securityweek.com/android-update-patches-exploited-zero-day-123-other-vulnerabilities/
