最新のAndroidセキュリティアップデートは、重大なサービス拒否(DoS)問題とその影響が開示されていないStrongBoxの欠陥という2つの脆弱性のみに対処しています。
DoS脆弱性はCVE-2026-0049として追跡されており、AndroidのFrameworkコンポーネントに影響します。この脆弱性は、追加の実行権限がなく、ユーザーのやり取りなしで、ローカルの攻撃者によって利用され、DoS状態を引き起こす可能性があります。
2番目の脆弱性はStrongBox、暗号化キーに対してより高いレベルの保護を追加するAndroidのハードウェアバックアップ付きセキュアキーストアに影響します。
StrongBoxは、独立したプロセッサ、隔離されたメモリ、ハードウェアベースの乱数生成器を含む、物理的およびサイドチャネル攻撃に対する強力な防御を備えた、専用のセキュアエレメント(SE)である独立した改ざん防止ハードウェアチップ内にキーを格納・管理することで機能します。
StrongBoxの欠陥はCVE-2025-48651として追跡されており、「高度の重大度」評価が付与されていますが、それを悪用できるかは不明です。一般的にStrongBox脆弱性は、キーの抽出、特権昇格、またはDoS状態のトリガーを許可する可能性があります。
技術的な詳細はおそらく後で利用可能になるでしょう。
Androidセキュリティ情報によると、CVE-2025-48651はGoogle、NXP、STMicroelectronics、およびThalesのStrongBox実装に影響します。
どちらの脆弱性も野生で悪用されたと思われません。
翻訳元: https://www.securityweek.com/severe-strongbox-vulnerability-patched-in-android/
