Googleは6月1日(米国時間)、「Android Security Bulletin—June 2026  |  Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2026年6月のセキュリティ情報を公開した。

今回のアップデートには2026-06-01、2026-06-05の2つのセキュリティパッチレベルの情報が含まれており、悪用された可能性のある1件の脆弱性および18件の緊急(Critical)の脆弱性を含む合計122件の脆弱性の情報が公表されている。

  • GoogleはAndroid向け2026年6月のセキュリティ更新を公開。122件の脆弱性に対処した 出典:Google

    GoogleはAndroid向け2026年6月のセキュリティ更新を公開。122件の脆弱性に対処した 出典:Google

122件の脆弱性を修正、1件は悪用の可能性

Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みか確認できる。

今回公開されたパッチレベル2026-06-01には70件の脆弱性が、パッチレベル2026-06-05には52件の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性(CVE)は次のとおり。

  • CVE-2025-65018 - PNG画像処理ライブラリー「libpng」にヒープバッファオーバーフローの脆弱性。攻撃者は細工したPNG画像を処理させることで、権限を昇格できる可能性がある(CVSSスコア:7.1)
  • CVE-2025-64720 - PNG画像処理ライブラリー「libpng」に境界外読み取りの脆弱性。攻撃者は細工したPNG画像を処理させることで、サービス拒否攻撃を実行できる可能性がある(CVSSスコア:7.1)
  • CVE-2026-0043 - システムコンポーネントに整数オーバーフローの脆弱性。ローカルの攻撃者は、権限を昇格できる可能性がある(CVSSスコア:5.5)
  • CVE-2026-0097 - システムコンポーネントに保護メカニズム回避の脆弱性。隣接したリモートの攻撃者は、権限を昇格できる可能性がある(CVSSスコア:8.0)
  • CVE-2026-21352 - DNG SDKに境界外書き込みの脆弱性。攻撃者は悪意のあるファイルを開かせることで、任意のコードを実行できる可能性がある(CVSSスコア:7.8)
  • CVE-2026-21353 - DNG SDKに整数オーバーフローまたはラップアラウンドの脆弱性。攻撃者は悪意のあるファイルを開かせることで、任意のコードを実行できる可能性がある(CVSSスコア:7.8)
  • CVE-2025-64505 - PNG画像処理ライブラリ「libpng」にヒープバッファの読み取りオーバーフローの脆弱性。攻撃者は細工したPNG画像を処理させることで、サービス拒否攻撃を実行できる可能性がある(CVSSスコア:6.1)
  • CVE-2026-0039CVE-2026-0040CVE-2026-0041CVE-2026-0044CVE-2026-0052CVE-2026-0080 - システムコンポーネントに整数オーバーフローの脆弱性。リモートの攻撃者は、サービス拒否攻撃を実行できる可能性がある(CVSSスコア:6.5)
  • CVE-2026-0042 - システムコンポーネントにリソース枯渇の脆弱性。ローカルの攻撃者は、持続的なサービス拒否攻撃を実行できる可能性がある(CVSSスコア:5.5)
  • CVE-2026-0051 - システムコンポーネントに不適切な入力検証の脆弱性。リモートの攻撃者は、サービス拒否攻撃を実行できる可能性がある(CVSSスコア:6.5)
  • CVE-2025-47392 - Qualcommクローズドソースコンポーネントに整数オーバーフローまたはラップアラウンドの脆弱性(CVSSスコア:8.8)
  • CVE-2026-25276 - Qualcommクローズドソースコンポーネントに不十分な境界検証の脆弱性(CVSSスコア:8.8)
  • CVE-2026-25277 - Qualcommクローズドソースコンポーネントにバッファオーバーフローの脆弱性(CVSSスコア:8.8)

限定的な標的型攻撃に悪用された可能性があると指摘された脆弱性は次のとおり。

  • CVE-2025-48595 - フレームワークコンポーネントに整数オーバーフローの脆弱性。ローカルの攻撃者は、権限を昇格できる可能性がある(CVSSスコア:8.4)

パッチレベル2026-06-05への更新を推奨

使用しているAndroidデバイスをパッチレベル2026-06-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 14、15、16、16-qpr2で利用可能になっている。Android 14以降のサポート対象バージョン向けに修正が提供されている。そのため、古いデバイスのユーザーはできるだけ速やかに、新しいAndroidデバイスに乗り換えることが推奨される。