Googleは2025年12月のAndroidセキュリティ情報を公開し、標的型攻撃で積極的に悪用されている2件を含む、合計107件の脆弱性に対処しました。
この2件の高深刻度の脆弱性はCVE-2025-48633およびCVE-2025-48572として追跡されており、それぞれ情報漏えいと権限昇格の問題で、Android 13から16までのバージョンに影響します。
「以下の脆弱性については、限定的かつ標的を絞った形で悪用されている可能性が示されています」と、12月のAndroidセキュリティ情報には記載されています。
Googleはこれらの欠陥に関する技術的な詳細や悪用手法を公開していませんが、過去の類似の脆弱性は、少数の高い関心を持たれる人物を標的とした、商用スパイウェアや国家主体による攻撃で悪用されてきました。
深刻度で見ると、今月修正された中で最も重大なのはCVE-2025-48631で、Android Frameworkにおけるサービス拒否(DoS)の脆弱性です。
今月のアップデートでは、2025-12-01 パッチレベルでカバーされるAndroid FrameworkおよびSystemコンポーネントの51件の脆弱性と、2025-12-05 パッチレベルでカバーされるKernelおよびサードパーティ製クローズドソースコンポーネントの56件の不具合に対処しています。
後者に関しては、KernelのPkvmおよびUOMMUサブコンポーネントにおける権限昇格の重大な脆弱性4件と、Qualcomm搭載デバイス向けの重大な修正2件(CVE-2025-47319およびCVE-2025-47372)が含まれています。
クローズドソースの修正に関する詳細は、2025年12月のセキュリティアップデート向けに公開されたQualcommおよびMediaTekのセキュリティ情報で確認できます。
さらに、Samsungもセキュリティ情報を公開しており、Googleのアップデートから移植された修正に加え、ベンダー独自の修正も含まれています。
今回のアップデートはAndroid 13以降を実行しているデバイスを対象としていますが、Android 10以降のデバイスでも、Google Playシステムアップデートを通じて一部の重要な修正を受け取ることができます。
また、Play プロテクトは既知のマルウェアや攻撃チェーンを検出・ブロックできるため、すべてのAndroidバージョンのユーザーは、このコンポーネントを常に最新かつ有効な状態に保つべきです。
古いAndroidバージョンを使用しているユーザーは、定期的にGoogleのセキュリティ修正を取り込んでいるサードパーティ製ディストリビューションへ移行するか、アクティブサポートが受けられる新しいデバイスモデルへ乗り換えることを検討すべきです。
