Googleは今週、悪用されたゼロデイを含む合計111件の固有CVEに対する修正を、2025年9月のAndroidパッチセットの一環として公開しました。
悪用された脆弱性は、いずれも権限昇格の問題であり、Android Runtime(CVE-2025-48543)とLinuxカーネル(CVE-2025-38352)に影響します。
「以下の脆弱性が限定的かつ標的型の悪用を受けている可能性があります:CVE-2025-38352、CVE-2025-48543」とGoogleのアドバイザリには記載されています。
Linuxカーネルのバグ(POSIX CPUタイマーの処理に関連する競合状態)に対する修正は7月に発表されており、主要な全ディストリビューションでパッチが適用されているようです。
Googleによる新たな警告以前にこの脆弱性が悪用されたという報告はありませんが、GoogleのThreat Analysis Group(TAG)のBenoît Sevensによって報告されており、スパイウェア攻撃で悪用された可能性が示唆されています。
Googleのアドバイザリでは、Android Runtimeのセキュリティ欠陥について、Android Open Source Project(AOSP)13、14、15、16リリースに影響すること以外の詳細は明らかにされていません。
Android Runtimeのゼロデイは、2025-09-01セキュリティパッチレベルの一部として修正されており、これにはFramework、System、Widevine DRMの他の58件のバグも含まれています。
これらの中で最も深刻なものは、Systemコンポーネントに存在する重大度クリティカルなリモートコード実行の欠陥(CVE-2025-48539)であり、追加の権限なしで悪用可能であるとGoogleは警告しています。
広告。スクロールして続きをお読みください。
2025-09-05セキュリティパッチレベルに更新されたデバイスでは、Linuxカーネルのバグの修正に加え、LinuxカーネルおよびArm、Imagination Technologies、MediaTek、Qualcommコンポーネントに影響する他の51件の問題も修正されます。
今月、GoogleはPixel向けの新たなセキュリティアップデートも公開し、これらのデバイス固有の23件の脆弱性と、Androidの2025年9月セキュリティ情報で特定された全てのバグを修正しました。
Androidのセキュリティ情報で説明されている全ての脆弱性は、Wear OS、Pixel Watch、Automotive OSのアップデートでも修正されています。Wear OSとPixel Watchのアップデートには、それぞれ2件および1件の追加セキュリティ欠陥の修正も含まれています。
ユーザーは、利用可能になり次第、デバイスを2025-09-05のセキュリティパッチレベルに更新することが推奨されます。
関連記事: その他のニュース:イラン船舶のハッキング、認証済みAndroid開発者、攻撃に使われるAI
関連記事: Anatsa Androidバンキングトロイの木馬、830の金融アプリを標的に
翻訳元: https://www.securityweek.com/two-exploited-vulnerabilities-patched-in-android/