- Googleはシステム、カーネル、フレームワークの各コンポーネントにわたる100件以上のAndroid脆弱性を修正
- 2件のゼロデイ(CVE-2025-48633、CVE-2025-48572)がスパイウェアや監視キャンペーンで悪用
- 重大なDoSバグ(CVE-2025-48631)も修正済み。ユーザーは直ちにアップデートを推奨
今週初め、GoogleはAndroidエコシステム向けに新たなセキュリティアップデートをリリースし、100件以上の異なるセキュリティ脆弱性に対応しました。
これらのバグはシステム、カーネル、フレームワークなど様々なコンポーネントで発見され、Arm、MediaTek、Qualcommなど、さまざまなメーカーに影響を及ぼしていました。
その中には、フレームワークに存在する2件の深刻な脆弱性も含まれており、実際に悪用されているとみられています。これらはCVE-2025-48633およびCVE-2025-48572として追跡されており、情報漏えいの脆弱性と権限昇格の脆弱性と説明されています。
Googleは、これらのバグがAndroid 13、14、15、16に影響し、「限定的かつ標的型の悪用が行われている可能性がある」こと以外、詳細は多くを明らかにしていません。しかし、CyberInsiderによれば、これは「スパイウェア作戦や国家主導の監視キャンペーンでゼロデイが利用されている」というGoogleの標準的な表現です。
同じメディアは、過去にもNSO Group、Candiru、Intellexaといった商用スパイウェアベンダーによって同様のゼロデイが悪用されてきたと伝えています。
「CVE-2025-48572のような権限昇格(EoP)脆弱性は、初期侵入後により深いアクセス権を得るために特に有用であり、CVE-2025-48633のような情報漏えいの脆弱性は、機密システムメモリの漏洩やサンドボックス保護の回避にしばしば利用されます」と同メディアは述べています。
これら2件は重要ですが、リストにある唯一の危険な脆弱性ではありません。Googleはまた、フレームワークに存在する重大な脆弱性(CVE-2025-48631)にも対応しました。これが悪用されると、リモートからのサービス拒否(DoS)を引き起こす可能性があります。このバグは追加の実行権限を必要とせずに悪用可能です。
修正は2つのレベル(2025-12-01と2025-12-05)に分けて提供されており、デバイスメーカーが一部の脆弱性に迅速に対応できるようになっています。Androidユーザーで、デバイスからアップデートのインストールを促された場合は、できるだけ早く実施してください。
今年初めにも、GoogleはLinuxカーネルに存在し、実際に悪用されていた2件のバグ(CVE-2025-38352、CVE-2025-48543)を修正しています。
