Googleは、Androidデバイスに影響を与える2件の積極的に悪用されているゼロデイ脆弱性が、9月のセキュリティアップデートで修正されたことを警告しました。このアップデートでは、合計120件のソフトウェア不具合に対応しています。
ゼロデイ脆弱性—カーネルに影響を与えるCVE-2025-38352と、Android Runtimeに影響を与えるCVE-2025-48543—はいずれも高深刻度の不具合であり、悪用にユーザーの操作を必要とせず、追加の実行権限なしで権限昇格につながる可能性があります。Googleは、これら両方の脆弱性が限定的かつ標的型の攻撃で悪用されている兆候があると述べています。
Googleが月例パッチの中で積極的に悪用されている不具合を含めたのは5月以来初めてです。また、今月公開された脆弱性の総数も今年最多となっています。
Androidのセキュリティアップデートには、2025-09-01と2025-09-05の2つのパッチレベルが含まれており、Androidパートナーがさまざまなデバイスで共通の脆弱性に対応できるようになっています。
サードパーティのAndroidデバイスメーカーは、自社のハードウェア向けにOSアップデートをカスタマイズした後、それぞれ独自のスケジュールでセキュリティパッチをリリースします。
主なセキュリティアップデートには、システムコンポーネントに影響を与える重大な脆弱性CVE-2025-48539が含まれており、リモートコード実行につながる可能性があります。最初のパッチレベルでは、フレームワークの29件、システムの28件、Widevine DRMコンポーネントに影響を与える1件、Google Playシステムアップデートの9件の脆弱性にも対応しています。
2つ目のパッチには、カーネルに影響を与える3件の脆弱性、Armコンポーネントの3件の不具合、Imagination Technologiesの10件のバグ、MediaTekコンポーネントに影響を与える4件の脆弱性の修正が含まれています。また、このアップデートでは、Qualcommコンポーネントに影響を与える32件の脆弱性(うち27件はクローズドソースコンポーネント)にも対応しています。
Qualcommの独自コンポーネントに影響を与える脆弱性のうち、CVE-2025-21450、CVE-2025-21483、CVE-2025-27034の3件は重大とされています。
Googleは、今月のセキュリティアップデートで対応したすべての脆弱性のソースコードパッチを、木曜日までにAndroid Open Source Projectリポジトリで公開すると述べています。
翻訳元: https://cyberscoop.com/android-security-update-september-2025/