はじめに

Googleは、限定的かつ標的型攻撃で積極的に悪用されている2つの高 severity のAndroidゼロデイ脆弱性に対処するため、緊急セキュリティパッチをリリースしました。2025年12月のAndroidセキュリティ速報で開示されたこれらの脆弱性は、複数のAndroidバージョンに影響を与え、デバイスメーカーおよびユーザーからの即時対応が求められています。

積極的に悪用されたゼロデイ脆弱性

現在積極的に悪用が確認されている2つのCVEは、CVE-2025-48633とCVE-2025-48572であり、実際の利用を示す証拠が特定されています。Googleのセキュリティチームは、これら両方の脆弱性が「限定的かつ標的型」で悪用されている兆候があると指摘しています。これらの発見は、攻撃者が新たに公開されたAndroidの脆弱性を迅速に特定し、武器化する現在の脅威状況を浮き彫りにしています。

• CVE-2025-48633: AndroidのFrameworkコンポーネントにおける情報漏洩の脆弱性。
• CVE-2025-48572: 高severityの権限昇格（EoP）の脆弱性。

両脆弱性はAndroid 13、14、15、16に影響を与え、パッチが適用されるまでAndroidエコシステムの大部分を脆弱な状態にしています。

脆弱性の詳細

CVE-2025-48633は、AndroidのFrameworkコンポーネントにおける情報漏洩の脆弱性であり、高 severity に分類されています。この脆弱性は、攻撃者が昇格された権限なしに機密情報にアクセスすることを可能にし、数百万台のデバイスでユーザーデータが漏洩する可能性があります。

2番目の脆弱性であるCVE-2025-48572は、高 severity の権限昇格（EoP）の欠陥です。この種の脆弱性は、攻撃者が影響を受けるデバイスの管理者制御権を取得できるため、特に危険です。影響を受けるFrameworkとSystemコンポーネントはAndroidのコア機能にとって不可欠であり、広範囲にわたる潜在的な影響を示唆しています。

Googleの対応と推奨事項

Googleは、2025年12月5日以降のセキュリティパッチレベルで、これらすべての開示された問題に対処していると発表しました。Androidパートナーには、セキュリティ速報の公開の少なくとも1ヶ月前にこれらの脆弱性が通知されており、デバイスメーカーがパッチを準備する時間を確保しています。Googleは、速報の初回公開から48時間以内に、Androidオープンソースプロジェクト（AOSP）リポジトリに対応するソースコードパッチをリリースすることを約束しています。

Google Play以外からアプリケーションをインストールするユーザーは、脅威アクターが悪意のあるアプリを配布し、これらの脆弱性を悪用する可能性があるため、特に注意を払うべきです。Androidデバイスを常に最新の状態に保ち、信頼できないソースからのサイドロードされたアプリケーションを避けることが、最善の防御策です。デバイス所有者は、パッチが利用可能になったらすぐに現在のセキュリティパッチレベルを確認し、デバイスをアップデートする必要があります。アップデートプロセスはデバイスメーカーやキャリアによって異なりますが、最新のAndroidデバイスのほとんどは自動アップデートを提供しています。ユーザーは、「端末情報」または「システムアップデート」の設定で現在のパッチレベルを確認できます。

元記事: https://gbhackers.com/google-fixes-android-zero-day-flaws/