2025年9月3日Ravie Lakshmananモバイルセキュリティ / 脆弱性
Googleは、2025年9月の月例修正の一環として、Androidオペレーティングシステムの120件のセキュリティ脆弱性に対処するセキュリティアップデートを公開しました。その中には、標的型攻撃で悪用されているとされる2件の問題も含まれています。
脆弱性の一覧は以下の通りです。
- CVE-2025-38352(CVSSスコア:7.4)- Linuxカーネルコンポーネントにおける権限昇格の脆弱性
- CVE-2025-48543(CVSSスコア:該当なし)- Android Runtimeコンポーネントにおける権限昇格の脆弱性
Googleによると、これら両方の脆弱性は追加の実行権限を必要とせず、ローカルでの権限昇格につながる可能性があります。また、悪用にはユーザーの操作は不要であるとも指摘しています。
同社は、これらの問題が実際の攻撃でどのように武器化されているか、また同時に利用されているかについては明らかにしていませんが、「限定的かつ標的を絞った悪用」の兆候があることを認めています。
GoogleのThreat Analysis Group(TAG)のBenoît Sevens氏が、上流のLinuxカーネルの脆弱性を発見・報告したとしてクレジットされており、これが標的型スパイウェア攻撃の一部として悪用された可能性が示唆されています。
またGoogleは、FrameworkおよびSystemコンポーネントに影響を与える複数のリモートコード実行、権限昇格、情報漏洩、サービス拒否(DoS)の脆弱性も修正しました。
Googleは、2025-09-01と2025-09-05の2つのセキュリティパッチレベルをリリースしており、AndroidパートナーがすべてのAndroidデバイスに共通する脆弱性の一部により迅速に対応できるよう柔軟性を持たせています。
「Androidパートナーは本告知のすべての問題を修正し、最新のセキュリティパッチレベルを使用することが推奨されます」とGoogleは述べています。
先月、Googleはチップメーカーが実際に悪用されていると警告した2件のQualcommの脆弱性――CVE-2025-21479(CVSSスコア:8.6)およびCVE-2025-27038(CVSSスコア:7.5)――を解決するためのセキュリティアップデートも公開しました。
翻訳元: https://thehackernews.com/2025/09/android-security-alert-google-patches.html