Android Frameworkに整数オーバーフローの脆弱性(CVE-2025-48595)— ローカル権限昇格
Androidの基盤コンポーネント「Framework」に整数オーバーフローの脆弱性があり、コード実行を通じてローカルでの権限昇格につながる。Android 2026年6月のセキュリティ情報で修正。CISAは悪用確認済み(KEV)として掲載(CVSS 8.4 High)。
脆弱性の基本情報
- CVE番号CVE-2025-48595
- CVSS基本値8.4 HIGH
- CVSSベクタCVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
- 対象(ベンダー/製品)Android Framework
- CWECWE-190
- 悪用状況CISA KEV 掲載(実際の悪用を確認)
- 是正期限2026-06-05(米連邦民生機関・BOD 22-01)
要点
CVE-2025-48595は、Androidの中核コンポーネントである「Framework」(アプリとOSをつなぐ基盤層)に存在する整数オーバーフロー(CWE-190)の脆弱性だ。整数の桁あふれによってメモリ処理に不整合が生じ、これを足がかりにしたコード実行を通じて、端末上でローカルの権限昇格(より高い権限の取得)が可能になる。
ローカル権限昇格は、単体で遠隔から侵入できるわけではないものの、悪意あるアプリや他の脆弱性と組み合わせることで、攻撃者が端末を深く掌握する「最後のひと押し」として悪用されることが多い。CISAのKEVカタログに2026年6月2日付で追加され、実際の悪用が確認されている。
【対応の要点】Googleの「Android Security Bulletin(2026年6月)」で修正が提供されている。端末のセキュリティパッチレベルを2026-06-01以降に更新することが基本対応となる。組織でAndroid端末を管理している場合は、MDM等で最新のセキュリティパッチが適用されているかを確認するとよい。連邦民生機関の是正期限は2026年6月5日。
なぜ重要か
業務用Android端末を多数管理する組織にとって、パッチ適用状況の可視化と更新が要点。BYOD環境では端末の最低パッチレベルをポリシーで担保する契機になる。
よくある質問(FAQ)
ローカル権限昇格とは何ですか?
何をすべきですか?
出典(一次情報)
本記事は下記の米国公式データに基づく独自整理です。正確・最新の内容、適用可否は必ず公式・ベンダーでご確認ください。
- CISA KEV Catalog(悪用確認済み一覧)
- NVD(CVE詳細・CVSS)
- ベンダー/参考アドバイザリ
- This product uses data from the NVD API but is not endorsed or certified by the NVD. KEV データは CC0(パブリックドメイン)です。