Samsungの2025年9月のAndroidデバイス向けセキュリティアップデートには、実際に悪用された脆弱性の修正が含まれています。
悪用されたバグはCVE-2025-21043(CVSSスコア8.8)として追跡されており、Samsungデバイス上で画像を処理するアプリケーションが使用するlibimagecodec.quram.so画像解析ライブラリにおける、範囲外書き込みの問題と説明されています。
Samsungによると、このセキュリティ欠陥が悪用されると、リモートの攻撃者が脆弱なデバイス上で任意のコードを実行できるようになります。
「Samsungは、この問題に対するエクスプロイトが実際に存在しているとの通知を受けました」と、同社はアドバイザリで述べています。
同社はこの脆弱性や観測された悪用の詳細は共有していませんが、8月13日にMetaとWhatsAppのセキュリティチームが報告したことに謝意を示しています。
報告のタイミングや、Samsungのゼロデイがコア画像ライブラリに存在していたことから、CVE-2025-21043はWhatsAppユーザーを標的とした攻撃で悪用された可能性が示唆されます。これは、iOS、iPadOS、macOSのImageIOフレームワークコンポーネントにおける範囲外書き込みの問題であるCVE-2025-43300と同様です。
Appleのバグについては、WhatsAppが2週間前に述べたように、「特定の標的ユーザーに対する高度な攻撃」でCVE-2025-55177として追跡されるWhatsAppの脆弱性と組み合わせて利用された可能性があります。
Meta傘下のこのコミュニケーションプラットフォームは、当時、攻撃の標的となった可能性があるユーザーが200人未満であることを通知したと述べています。
広告。スクロールして続きをお読みください。
WhatsAppの8月下旬のアドバイザリでは、CVE-2025-55177がAndroidユーザーに対して悪用されたことには言及されていませんが、Amnesty InternationalのDonncha Ó Cearbhaill氏は、iPhoneとAndroidの両方のユーザーが影響を受けたと述べています。これらの攻撃はスパイウェアベンダーによるものとされています。
「初期の情報では、WhatsApp攻撃はiPhoneとAndroidの両方のユーザー、特に市民社会の個人に影響を与えているようです。政府のスパイウェアは、引き続きジャーナリストや人権擁護者に脅威をもたらしています」とÓ Cearbhaill氏は述べています。
SecurityWeekは、詳細確認のためSamsungとWhatsAppの両社にメールで問い合わせており、両社から回答があれば本記事を更新します。
関連記事: ハッカーがSitecoreのゼロデイを悪用しマルウェア配布
関連記事: Androidで悪用された2件の脆弱性が修正
翻訳元: https://www.securityweek.com/samsung-patches-zero-day-exploited-against-android-users/