Googleは月曜日、Androidのオペレーティングシステムおよびサードパーティ製コンポーネントに存在する6件の脆弱性に対応する新たなセキュリティアップデートを発表しました。その中には悪用されたQualcommの脆弱性も含まれています。
悪用されたバグは、6月初旬に公開され、CVE‑2025‑27038(CVSSスコア7.5)として追跡されています。これは、ChromeでAdreno GPUドライバーを使用してグラフィックをレンダリングする際に発生するuse-after-freeの問題です。
「Google Threat Analysis Groupからの情報によると、CVE-2025-21479、CVE-2025-21480、CVE-2025-27038が限定的かつ標的型の攻撃で悪用されている可能性があります」とQualcommは6月2日に述べました。米国サイバーセキュリティ庁(CISA)は翌日、これら3件すべてをKEVカタログに追加しました。
5月には、Qualcommがこれら3件のセキュリティ欠陥に対するパッチをOEMやスマートフォンメーカーに提供しましたが、Googleの6月のAndroidパッチには修正が含まれておらず、7月には10年ぶりにセキュリティパッチが提供されませんでした。
CVE‑2025‑27038の悪用に関する詳細は公表されていませんが、Qualcommの表現やこれまでの同社チップセットのバグが悪用された事例から、商用スパイウェアベンダーによる標的型攻撃の可能性が示唆されています。
2025年8月のAndroidセキュリティ情報に記載された残り5件の脆弱性のうち、最も深刻なのはSystemコンポーネントに存在する重大度クリティカルのリモートコード実行(RCE)問題(CVE‑2025‑48530)で、ユーザー操作なしで悪用可能です。
「これらの問題の中で最も深刻なのは、Systemコンポーネントに存在するクリティカルなセキュリティ脆弱性で、他のバグと組み合わせることで追加の実行権限なしにリモートコード実行が可能となるものです」とGoogleは述べています。
Androidの2025年8月アップデートの第1弾は2025-08-01セキュリティパッチレベルとして配信され、Systemのセキュリティ欠陥と、Frameworkコンポーネントにおける2件の高深刻度の権限昇格(EoP)脆弱性を修正します。
広告。スクロールして続きをお読みください。
第2弾は2025-08-05セキュリティパッチレベルとして配信され、Armコンポーネントの1件とQualcommコンポーネントの2件(うち1件は悪用されたバグ)に対応します。
「すべての管理対象Androidデバイスが速やかに2025‑08‑05セキュリティパッチレベル(またはそれ以降)にアップデートされるよう、各組織に強く推奨します。今月のセキュリティ情報は、小規模なアップデートであっても熟練した脅威アクターが利用する経路を遮断できることを再認識させるものです。先手を打つには積極的な対応が不可欠であり、現状維持では不十分です」とJamfのシニアセキュリティ戦略マネージャー、アダム・ボイントン氏は述べています。
2025年8月のAndroid Automotive OSおよびWear OSのセキュリティ情報にはセキュリティパッチは含まれておらず、Googleは今月のPixel向けセキュリティ情報もまだ公開していません。
関連記事: Apple、Chromeを標的としたSafariの脆弱性に対応
関連記事: SonicWall、ファイアウォール悪用急増を受けゼロデイを調査
翻訳元: https://www.securityweek.com/androids-august-2025-update-patches-exploited-qualcomm-vulnerability/