12月のAndroidセキュリティ情報によると、Googleが修正プログラムを提供する前に、2件の重大度「高」のAndroidバグがゼロデイとして悪用されていました。
この2つの脆弱性は、Androidのフレームワークコンポーネントにおける情報漏えいの欠陥であるCVE-2025-48633と、同じくフレームワークコンポーネントに存在する権限昇格バグであるCVE-2025-48572です。いずれも重大度は「高」と評価されており、Googleによれば、両方とも「限定的かつ標的型の悪用」が行われている可能性があります。
これら2件に加え、さらに105件のセキュリティホールにもすべてパッチが提供されているため、できるだけ早くAndroidソフトウェアを更新することが推奨されます。
Googleは、誰がどのような目的でこれらの脆弱性を悪用しているのかについて詳細を明らかにしていませんが、商用スパイウェアや政府支援の攻撃者が、この種のモバイルデバイス向けゼロデイを盗聴目的で悪用することはよく知られています。
火曜日、米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、CVE-2025-48633とCVE-2025-48572の両方を既知の悪用脆弱性(KEV)カタログに追加し、連邦機関に対して12月23日までのパッチ適用を義務付けるとともに、すべての組織に対しても「サイバー攻撃への曝露を減らす」ため、同様の対応を「強く」促しました。
今回の最新ゼロデイは、先月Googleが重大度「高」のChromeバグに対して緊急パッチを提供した件に続くものです。このChromeバグも、すでに攻撃者によって実際の環境で発見・悪用されていました。
この脆弱性はCVE-2025-13223として追跡されており、V8 JavaScriptエンジンにおける型混同の欠陥です。今年7件目のChromeゼロデイとなりましたが、いずれもすでにパッチが提供されています。
今回のAndroid 12月パッチマラソンでは、7件のバグが重大度「クリティカル」と評価されました。Googleによると、最も深刻なのはフレームワークコンポーネントに存在するCVE-2025-48631で、「追加の実行権限を必要とせずにリモートからサービス拒否(DoS)を引き起こす可能性」があります。
さらに、カーネルには4件の重大な権限昇格バグ(CVE-2025-48623、CVE-2025-48624、CVE-2025-48637、CVE-2025-48638)があり、加えてQualcommのクローズドソースコンポーネントに影響する2件の重大な脆弱性(CVE-2025-47319、CVE-2025-47372)も存在します。
Qualcommのセキュリティアドバイザリによると、CVE-2025-47319は「内部のTA間通信APIをHLOSに公開してしまうことで情報漏えいを引き起こす」可能性があります。CVE-2025-47372は重大なバッファオーバーフローの欠陥であり、サイズ超過したファイルを含む破損したELFイメージが、認証なしにバッファへ読み込まれた際に発生します。
これら107件すべてのAndroidデバイス向けセキュリティ問題に今すぐパッチを適用してください。というのも、Microsoftなど各社が、今月12月9日の「Patch Tuesday(パッチチューズデー)」イベントで、さらに多くのアップデートを配信する可能性が高いからです。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/02/android_0_days/
