Googleは月曜日、Androidユーザー向けに新たなセキュリティアップデートを公開し、解決された脆弱性のうち2件が攻撃で悪用されていたと警告しました。
悪用されたゼロデイ脆弱性はCVE-2025-48633およびCVE-2025-48572として追跡されており、プラットフォームのFrameworkコンポーネントに影響し、それぞれ情報漏洩や権限昇格に悪用される可能性があります。
2025年12月のAndroidセキュリティ速報には次のように記載されています:
Googleは、この2つのセキュリティ欠陥について、Androidバージョン13、14、15、16に影響すること以外の追加情報は共有していません。
インターネット大手の表現から、両方の脆弱性は商用スパイウェアベンダーによって悪用された可能性があります。
これらの問題は、Androidの2025年12月セキュリティアップデートの第1弾で対処されており、2025-12-01セキュリティパッチレベルとしてデバイスに配信され、FrameworkおよびSystemコンポーネントの51件の脆弱性に対する修正が含まれています。
「これらの問題の中で最も深刻なのは、Frameworkコンポーネントに存在する重大なセキュリティ脆弱性で、追加の実行権限を必要とせずリモートからサービス拒否を引き起こす可能性があります」とGoogleの勧告には記載されています。
新しいAndroidアップデートでは合計107件のバグが修正されており、アップデートの第2弾である2025-12-05セキュリティパッチレベルにはすべての修正が含まれています。
パッチはカーネルに加え、Arm、Imagination Technologies、MediaTek、Unisoc、Qualcommの各コンポーネントも対象としています。
今月はGoogle Playシステムアップデートで対処された脆弱性はなく、Android Automotive OSおよびWear OSのセキュリティ速報にもセキュリティパッチは含まれていません。
2025-12-05以降のセキュリティパッチレベルを実行しているデバイスには、2025年12月のアップデートおよび過去のAndroidパッチで解決されたすべての脆弱性の修正が含まれています。
翻訳元: https://www.securityweek.com/androids-december-2025-updates-patch-two-zero-days/
