Google、定例パッチでAndroidのゼロデイを含む111件の脆弱性を修正

セキュリティニュース

投稿日時: 更新日時:

Google、定例パッチでAndroidのゼロデイを含む111件の脆弱性を修正

Googleは2025年9月の月例更新で111件の脆弱性を修正し、うち2件のゼロデイ(CVE-2025-48543/CVE-2025-38352)について限定的な標的型攻撃での悪用兆候を公表しました。

どちらも権限昇格(EoP)で、前者はAndroid Runtime(ART)、後者はLinuxカーネル(POSIX CPUタイマー処理の競合)に起因します。

定例パッチの概要

Googleは2025年9月の月例アップデートで、限定的ながら実際に悪用が確認されたゼロデイを含む計111件の脆弱性に対処しました。

焦点となるのは、Android Runtime(CVE-2025-48543)とLinuxカーネル(CVE-2025-38352)の権限昇格問題です。配信は二段構えで進み、まず「2025-09-01」ではARTのゼロデイを含むフレームワーク/システム/Widevineなど58件を修正し、その後の「2025-09-05」でPOSIX CPUタイマーの競合に起因するカーネルのゼロデイと、Arm・Imagination Technologies・MediaTek・Qualcommなどを含む追加51件を反映しています。

あわせて、追加権限なしで悪用可能なSystemコンポーネントのリモートコード実行(CVE-2025-48539)も解消されました。Pixel向けには端末固有の23件が別途修正され、Wear OS、Pixel Watch、Automotive OSにも同内容が取り込まれています。組織・個人とも、最終的に「2025-09-05」のパッチレベルへ到達させることが今回の対応の着地点になります。

個別脆弱性の要点

  • CVE-2025-48543(ART / EoP)
    対象:Android 13〜16(AOSPベース)。use-after-freeに起因する権限昇格。Chromeサンドボックス脱出の可能性に言及があります。Google Playシステムアップデート経由でも提供されるため、GMS端末はOTA待ちの間も保護が前倒しされる場合があります。現時点でランサムウェアでの悪用可否は不明です。

  • CVE-2025-38352(Linux Kernel / EoP)
    内容:POSIX CPUタイマー処理の競合(レースコンディション)。7月に上流で修正済みですが、Androidにも9月の2025-09-05で反映。報告経路からスパイウェア系の悪用文脈が示唆されています。

  • CVE-2025-48539(System / RCE)
    追加権限不要かつリモートから実行され得る点が深刻です。EoPと連鎖すると端末の完全掌握に至るリスクがあります。

リスク評価

  • 2件のゼロデイはいずれもローカルEoPです。単体でも端末内の攻撃者に有利ですが、RCE(例:CVE-2025-48539)や悪性アプリ配布と組み合わされると被害が一気に拡大します。

  • Androidは機種・キャリアごとに更新経路が分散しており、パッチ遅延が構造的に発生します。組織は最小パッチレベルの強制と未更新端末の業務制限をポリシーで担保する必要があります。