Googleは月曜日、同社のAndroidデバイス向け月例セキュリティアップデートで対応した合計107件の不具合の中で、実際に悪用されている2件のゼロデイ脆弱性を公表しました。
ゼロデイ脆弱性—CVE-2025-48633およびCVE-2025-48572—はいずれもAndroidフレームワークに影響を与える高深刻度の不具合で、攻撃者はそれぞれ情報へのアクセスや権限昇格を行うことができます。Googleによると、これら2件の脆弱性は月曜日午後時点でCybersecurity and Infrastructure Security Agency(CISA)の既知の悪用脆弱性カタログには追加されていませんが、限定的かつ標的型の悪用が行われている可能性があります。
GoogleのAndroid向け公開脆弱性開示および報告プログラムは、今年は一貫性に欠けています。通常、同社は毎月数十件のセキュリティパッチを発行していますが、7月と10月には脆弱性の報告がなく、8月には6件、11月には2件のみの報告となっています。
Googleは、脆弱性開示が時折停滞する理由についての質問には回答しておらず、今年一部の月で報告数が少ないことを説明するようなプロセスの変更についても説明していません。
同社の最新のセキュリティアップデートは、今年これまでで2番目に多い脆弱性数の修正を含んでおり、9月に対応した120件の不具合に次ぐ規模となっています。
Googleによると、今月最も深刻な脆弱性—CVE-2025-48631—はフレームワークに影響を与える重大な不具合で、攻撃者は追加の実行権限なしでリモートからサービス拒否(DoS)を引き起こすことが可能です。
12月のAndroidセキュリティ情報には、2025-12-01と2025-12-05の2つのパッチレベルが含まれており、Androidパートナーが異なるデバイスで共通の脆弱性に対応できるようになっています。Androidデバイスメーカーは、自社のハードウェア向けにOSアップデートをカスタマイズした後、独自のスケジュールでセキュリティパッチをリリースします。
主なセキュリティアップデートには、CVE-2025-48631を含むフレームワークに影響する37件の脆弱性と、システムに影響する14件の不具合が含まれています。
2つ目のパッチは、カーネルに影響する9件の脆弱性に対応しており、そのうち4件は重大とされています。このアップデートには、2件のArmコンポーネントの不具合、4件のImagination Technologiesのバグ、MediaTekコンポーネントに影響する17件の脆弱性、Unisocコンポーネントの13件の不具合、そして2件が重大とされる11件のQualcommコンポーネントの修正も含まれています。
Googleは、今月のAndroidセキュリティ情報で対応したすべての脆弱性のソースコードを、水曜日までにAndroid Open Source Projectリポジトリで公開すると述べています。
翻訳元: https://cyberscoop.com/android-security-update-december-2025/
