Google の 6 月の Android セキュリティ パッチは見逃せません。同社は月に 1 回セキュリティ アップデートを公開する可能性がありますが、この最新バージョンはかなりのアップデートです。BleepingComputer の報告によると、パッチには 124 件のセキュリティ上の欠陥に対する修正が含まれています。それ自体、これは実質的なアップデートになりますが、急いでインストールする理由は、ある特定の修正に帰着します。
CVE-2025-48595 として追跡されている 124 件の脆弱性のうちの 1 つは、Android フレームワークに影響を与える特権昇格の脆弱性です。攻撃者はこれを悪用して権限を昇格したり、管理職に強制的に就いたりして、ターゲット デバイス上で独自のコードを実行する可能性があります。 Google によると、Android 14 以降を実行するデバイスに存在するこの欠陥を攻撃者が悪用するために、ユーザーは何もする必要さえありません。これは膨大な数のデバイスに影響を与えます。何よりも悪いことに、Google は、CVE-2025-48595 が「限定的で標的を絞った悪用」を受けており、いわゆるゼロデイであることを示す証拠があると述べています。
ゼロデイ脆弱性とは何ですか?
ゼロデイ脆弱性は、最も危険なタイプのセキュリティ欠陥です。これらは、ソフトウェア開発者が一般のユーザー ベースにパッチを発行する前に、脆弱性が公に公開または悪用された場合に発生します。このギャップにより、攻撃者はユーザーが修正プログラムをインストールする前に欠陥を悪用する方法を学習できるため、有利になります。そのため、CVE-2025-48595 は、6 月のセキュリティ パッチをインストールしていないすべてのユーザーに攻撃の可能性をもたらします。
良いニュースは、Googleがこれまでのところエクスプロイトは限定的かつ標的を絞ったものであると述べていることだ。おそらく、攻撃者は政治家やジャーナリストなどの著名なターゲットに対してこのエクスプロイトを使用します。そうは言っても、Google はこの脆弱性について、トラッキング ID とその一般的な説明以外はあまり開示していないため、関連する範囲や危険性についてはあまりわかっていません。
このゼロデイだけがアップデートをインストールする唯一の理由ではありません。ここで特定された 124 件の脆弱性のうち 18 件は「重大」とラベル付けされており、ゼロデイではありませんが (つまり、Google がアップデートを発行したときに欠陥が公開されたり悪用されたりしなかったということです)、ハッカーがこれらの欠陥を利用する方法を学ぶのは時間の問題です。古いバージョンの Android をデバイス上で実行し続けると、危険にさらされる可能性があります。
これまでのところどう思いますか?
6 月の Android セキュリティ アップデートをインストールする方法
Google はこれらのセキュリティ アップデートを発行するため、自社の電話回線である Pixel が最初にセキュリティ アップデートを受け取ります。そのため、Pixel ユーザーは今すぐセキュリティ アップデートをダウンロードしてインストールできます。 Samsung Galaxy、OnePlus、Motorola 携帯電話など、別の Android デバイスをお持ちの場合は、デバイスの製造元がパッチを発行するまで待つ必要があります。
アップデートが携帯電話にプッシュされると、自動的にアップデートされる場合があります。ただし、アップデートがお客様側で利用可能かどうかを確認するには、 設定 アプリをクリックしてから、次の場所に進みます 電話について (または タブレットについて)、選択します Android版。ここでは、保留中のセキュリティ更新があるかどうかが表示されます。
{このテーマについてさらに詳しく知りたい方は以下をご覧ください|関連情報は以下のリンクからご確認いただけます}