Googleは9月2日(米国時間)、「Android Security Bulletin—September 2025 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2025年9月のセキュリティ情報を公開した。
今回のアップデートには2025-09-01、2025-09-05の2つのセキュリティパッチレベルの情報が含まれており、悪用された可能性のある2件の脆弱性および4件の緊急(Critical)の脆弱性を含む合計111件の脆弱性の情報が公表されている。
-
Android Security Bulletin—September 2025 | Android Open Source Project
脆弱性の詳細
Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みか確認できる。
今回公開されたパッチレベル2025-09-01には59件の脆弱性が、パッチレベル2025-09-05には52件の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性(CVE)は次のとおり。
- CVE-2025-48539 - システムコンポーネントの脆弱性。攻撃者はリモートコード実行(RCE: Remote Code Execution)できる可能性がある(CVSSスコア: 不明)
- CVE-2025-21450 - Qualcommクローズドソースコンポーネントに不適切な認証の脆弱性。ダウンロード時に安全ではない接続方法を使用する(CVSSスコア: 9.1)
- CVE-2025-21483 - Qualcommクローズドソースコンポーネントにメモリーバッファー内における境界外アクセスの脆弱性。ネットワークからRTPパケットを受信する際にメモリーを破損する可能性がある(CVSSスコア: 9.8)
- CVE-2025-27034 - Qualcommクローズドソースコンポーネントに配列位置の不適切な検証の脆弱性。特定の操作でメモリーを破損する可能性がある(CVSSスコア: 9.8)
限定的な標的型攻撃に悪用された可能性があると指摘された脆弱性は次のとおり。
- CVE-2025-38352 - Linuxカーネルに時間差(TOCTOU)競合状態の脆弱性。攻撃者は不正に権限を昇格できる可能性がある(CVSSスコア: 7.4)
- CVE-2025-48543 - Androidランタイムコンポーネントの脆弱性。攻撃者は不正に権限を昇格できる可能性がある(CVSSスコア: 不明)
対策
使用しているAndroidデバイスをパッチレベル2025-09-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 13、14、15、16で利用可能になっている。Android 12、12L以前のデバイスはサポートを終了しているため、古いデバイスのユーザーにはできるだけ速やかに、新しいAndroidデバイスに乗り換えることが推奨される。
