サムスンのスマートフォンを狙ったWhatsApp関連ゼロデイ脆弱性、9月の月例アップデートで修正(CVE-2025-21043)

セキュリティニュース

投稿日時: 更新日時:

サムスンのスマートフォンを狙ったWhatsApp関連ゼロデイ脆弱性、9月の月例アップデートで修正(CVE-2025-21043)

サムスンは、同社スマートフォン向けの月例セキュリティ更新(SMR:Security Maintenance Release)2025年9月版で、実際に悪用が確認されたゼロデイ脆弱性を修正しました。

問題の脆弱性は CVE-2025-21043(SVE-2025-1702) で、サードパーティ製の画像処理ライブラリ libimagecodec.quram.so における Out-of-bounds Write(領域外書き込み)を起点に、遠隔から任意コード実行(RCE) に至る重大な不具合です。

どの端末・どのソフトが影響を受けるのか

サムスンのセキュリティ情報では、Android 13~16を搭載する端末群が対象で、今月のSMR(Sep-2025 Release 1)に修正が含まれます。月例の趣旨に沿い、GoogleのAndroidセキュリティ掲示板のパッチ群やSamsung Semiconductorの個別修正、さらに複数のSVE(Samsung独自の脆弱性項目)も同梱されています。


配信は機種・地域・キャリア
により順次となり、OSアップグレードのタイミング次第で月内のロールアウト順が前後する場合があります。カバレッジは「主要フラッグシップモデル」を中心に広がりますが、提供可否と時期は端末ごとに異なる点にご留意ください。

何が起きていたのか

脆弱性は、複数の画像形式を扱うクローズドソースのコンポーネント libimagecodec.quram.so に存在します。攻撃者は細工した画像データを処理させるだけで、対象端末上で任意のコードを実行できる可能性がありました。メッセージアプリなど“画像を自動的に解析する経路”が関与し得る点がリスクを高めており、今回の発見・通報はWhatsApp側の調査を契機に共有・連携が進んだものです。


サムスンは詳細な侵入シナリオには踏み込みませんでしたが、性質上、受信・プレビューしただけで成立するゼロクリック寄りの攻撃面も想定されます。

Meta側は、この夏に観測した高度で限定的な標的型攻撃の調査の一環として各社と脆弱性情報を共有し、Apple側も関連度の高い不具合(CVE-2025-43300)を先行して緩和した経緯があります。