Android OSの2025年12月のセキュリティ情報が公開。致命的なもの複数、悪用の兆候も

2025年12月のAndroidセキュリティ情報が公開

　米Googleは12月1日（現地時間）、Android OSのセキュリティ情報（ABS）を発表した。四半期ごと（3月、6月、9月、12月）にリリースされるだが、大規模なセキュリティアップデートとなっている。

　Android OSのセキュリティ更新プログラムは、リリース月（2025-12）ごとに「01」と「05」という2つのセキュリティレベルに分けられている。

　「01」は対応に時間のかかるカーネルコンポーネントや特定ベンダー向けの一部修正を省いたサブセット。修正範囲に制限を設け、迅速にユーザーへアップデートを提供できるように配慮されている。「05」はそれ以外の問題にも対処した、いわば完全版だ。

セキュリティ更新プログラムレベル「2025-12-01」

　「2025-12-01」はこれまでに修正された問題に加え、新たにFrameworkで37件、Systemで14件の脆弱性が対処された。「Google Play」システムのアップデート（Project Mainline）経由で修正された脆弱性はない。

　新たに対処された脆弱性のうち、Frameworkにおけるサービス拒否（DoS）の脆弱性「CVE-2025-48631」は、追加の実行権限を必要とせずにリモートから悪用が可能。深刻度が最高の「Critical」と評価されており、警戒が必要だ。

　また、以下の2件の脆弱性に関しては、すでに限定的かつ標的型攻撃に悪用されている可能性がある。

• CVE-2025-48633：情報漏洩（High）。Android 13から16までに影響
• CVE-2025-48572：権限昇格（High）。Android 13から16までに影響

セキュリティ更新プログラムレベル「2025-12-05」

　「2025-12-05」はすべての問題に対処した完全版で、「2025-12-01」での修正に加えKernelで9件、Kernel LTSで1件、Arm componentsで2件、Imagination Technologiesのコンポーネントで4件、MediaTek componentsで17件、Unisoc componentsで13件、Qualcomm componentsで35件の脆弱性が解決された。

　うち、Kernelの脆弱性4件（CVE-2025-48623、CVE-2025-48624、CVE-2025-48637、CVE-2025-48638）は深刻度が最高の「Critical」と評価されており、警戒が必要。

　そのほかにも、Qualcommのクローズドソースコンポーネントでも、深刻度「Critical」と評価されたもの2件を含む8件の脆弱性が修正されている。