Googleは、Androidの2025年8月のセキュリティアップデートで、標的型攻撃で悪用された2件のQualcommの脆弱性を含む、6件の脆弱性に対するセキュリティパッチを公開しました。
この2つのセキュリティバグは、CVE-2025-21479およびCVE-2025-27038として追跡されており、2025年1月下旬にGoogle Androidセキュリティチームを通じて報告されました。
1つ目は、特定のコマンドシーケンスを実行中にGPUマイクロノードで不正なコマンドが実行されることにより、メモリ破損を引き起こすグラフィックスフレームワークの不適切な認可の脆弱性です。一方、CVE-2025-27038は、ChromeでAdreno GPUドライバーを使用してグラフィックスをレンダリングする際に発生する、メモリ破損を引き起こすUse-After-Freeの脆弱性です。
Googleは現在、Qualcommが6月に発表したパッチを統合しました。このとき、無線技術大手のQualcommは「Google Threat Analysis Groupから、CVE-2025-21479、CVE-2025-21480、CVE-2025-27038が限定的かつ標的型の悪用を受けている可能性があるとの指摘があった」と警告していました。
「Adrenoグラフィックスプロセッシングユニット(GPU)ドライバーに影響する問題のパッチは5月にOEMに提供されており、影響を受けるデバイスにはできるだけ早くアップデートを適用することを強く推奨しています」とQualcommは述べています。
CISAもまた、6月3日にこれら2つのセキュリティバグを積極的に悪用されている脆弱性のカタログに追加し、連邦機関に対して6月24日までに継続中の攻撃からデバイスを保護するよう命じました。
今月のAndroidセキュリティアップデートでは、Googleはさらに、攻撃者が権限なしで他の脆弱性と組み合わせてユーザー操作なしにリモートコード実行を可能にする、Systemコンポーネントの重大なセキュリティ脆弱性も修正しました。
Googleは2種類のセキュリティパッチを発行しています:2025-08-01および2025-08-05のセキュリティパッチレベルです。後者は、最初のバッチのすべての修正と、クローズドソースのサードパーティおよびカーネルサブコンポーネントのパッチをまとめたもので、すべてのAndroidデバイスに適用されるとは限りません。
Google Pixelデバイスは直ちにセキュリティアップデートを受け取りますが、他のベンダーは自社のハードウェア構成に合わせてテストや調整を行うため、適用までに時間がかかることが多いです。
3月には、Googleはまた、セルビア当局が押収したAndroidデバイスのロック解除に悪用した2件のゼロデイ脆弱性にもパッチを適用しました。
昨年11月、同社は2件目のAndroidゼロデイ(CVE-2024-43047)についても対応しました。これはセルビア政府によるNoviSpyスパイウェア攻撃で使用され、10月にGoogle Project Zeroによって最初に悪用が確認されました。
