Googleは最新のAndroidセキュリティ速報で、モバイルオペレーティングシステムおよびそのオープンソース版であるAndroid Open Source Project(AOSP)に依存するすべてのシステムに影響を与える107件のゼロデイ脆弱性を公表しました。
この勧告は12月1日に公開され、Androidフレームワークに影響する37件とシステムに影響する14件、合計51件の脆弱性に対するパッチが含まれており、残りは12月5日に公開される予定です。
パッチが適用された51件の脆弱性のうち、特に重要なのは3件です。
そのうち2件(CVE-2025-48633およびCVE-2025-48572)は「限定的かつ標的型の悪用が行われている可能性がある」とGoogleは述べています。
どちらもAndroidフレームワークにおける情報漏洩(ID)問題として高い深刻度に分類されており、Android 13、14、15、16に影響します。
悪用された場合、CVE-2025-48633は不正な情報漏洩を許し、CVE-2025-48572は攻撃者が脆弱なデバイスで権限昇格を行うことを可能にします。
執筆時点では、いずれも米国サイバーセキュリティ・インフラストラクチャ庁(CISA)の既知悪用脆弱性(KEV)カタログには追加されていません。
この勧告には、追加の実行権限を必要とせずリモートでサービス拒否(DoS)を引き起こす可能性のある、Androidフレームワークの重大なセキュリティ脆弱性も含まれています。この脆弱性はCVE-2025-48631として追跡されています。
残りのパッチは12月5日に公開される予定です。
これらのパッチは、カーネル内のAndroidコンポーネントや、Arm、Imagination Technologies、MediaTek、Qualcomm、Unisonなどのサードパーティコンポーネントに影響する56件の脆弱性に対応します。
翻訳元: https://www.infosecurity-magazine.com/news/google-patches-android-0day/
