Googleは、合計84件の脆弱性(うち2件は積極的に悪用されているもの)に対応する、2025年9月のAndroidデバイス向けセキュリティアップデートを公開しました。
ゼロデイ攻撃で悪用が確認された2つの脆弱性は、Androidカーネルにおける権限昇格のCVE-2025-38352と、Android Runtimeコンポーネントにおける権限昇格のCVE-2025-48543です。
Googleは公式のセキュリティ情報で、これら2つの脆弱性が限定的かつ標的型の攻撃で悪用されている可能性があると指摘していますが、詳細は明らかにしていません。
CVE-2025-38352の脆弱性は、2025年7月22日に初めて公開されたLinuxカーネルの脆弱性で、カーネルバージョン6.12.35-1以降で修正されています。以前は積極的に悪用されているとはされていませんでした。
この脆弱性はPOSIX CPUタイマーにおける競合状態(レースコンディション)であり、タスクのクリーンアップを妨害し、カーネルの不安定化を引き起こすことで、クラッシュやサービス拒否(DoS)、権限昇格につながる可能性があります。
CVE-2025-48543は、Java/Kotlinアプリやシステムサービスが実行されるAndroid Runtimeに影響し、悪意のあるアプリがサンドボックス制限を回避して、より高いレベルのシステム機能にアクセスできる可能性があります。
積極的に悪用されている2件の脆弱性以外にも、Googleの2025年9月のAndroidアップデートでは、4件の重大な問題に対応しています。
1つ目は、AndroidのSystemコンポーネントにおけるリモートコード実行(RCE)問題のCVE-2025-48539です。
これは、BluetoothやWiFiの範囲内など、物理的またはネットワーク的に近接した攻撃者が、ユーザーの操作や権限なしに任意のコードをデバイス上で実行できる可能性があります。
その他の3件の重大な脆弱性は、CVE-2025-21450、CVE-2025-21483、CVE-2025-27034で、いずれもQualcommの独自コンポーネントに影響します。
Qualcommのセキュリティ情報によると、CVE-2025-21483は、RTPパケットからビデオ(NALU)を再構成する際に発生するデータネットワークスタックのメモリ破損の脆弱性です。
攻撃者は、特別に細工したネットワークトラフィックを送信して、範囲外書き込みを引き起こし、ユーザーの操作なしにリモートでコードを実行することができます。
CVE-2025-27034は、SOR失敗リストからPLMN選択時のマルチモードコールプロセッサにおける配列インデックス検証のバグです。
悪意のある、または不正なネットワーク応答によってメモリが破損し、モデムベースバンドでのコード実行が可能になる恐れがあります。
今回のAndroidパッチリリースでは、合計27件のQualcommコンポーネントの修正が含まれており、修正された脆弱性の総数は111件にのぼります。ただし、これらは他メーカー製チップを搭載したデバイスには該当しません。
MediaTek搭載デバイスについては、最新のセキュリティ修正の詳細がチップベンダーの情報で確認できます。
今回のAndroidセキュリティアップデートは、Android 13から16までのバージョンに影響する脆弱性を対象としていますが、すべての脆弱性がすべてのバージョンに影響するわけではありません。
推奨される対応としては、設定 > システム > ソフトウェアアップデート > システムアップデート >に進み、「アップデートを確認」をクリックして、2025-09-01または2025-09-05のセキュリティパッチレベルにアップグレードすることです。
Android 12以前を利用しているユーザーは、サポートが継続している新しいモデルに買い替えるか、最新のセキュリティアップデートを取り込んだサードパーティ製Androidディストリビューションの利用を検討してください。
Samsungも、One UIなど独自コンポーネントに特有の脆弱性修正を含む9月のメンテナンスアップデートをフラッグシップデバイス向けに公開しています。
