Google は 6 月 2 日、Android Security Bulletin の 6 月版を公開しました。合計 124 件の脆弱性を修正し、その中の Framework コンポーネントの CVE-2025-48595 が標的型攻撃で限定的に悪用中だと明記しています。ユーザー操作不要で権限昇格に至るため、影響範囲が広い案件です。
主なポイント
- CVE-2025-48595 は CVSS 8.4 の整数オーバーフローによるローカル権限昇格
- Google は「limited, targeted exploitation」と説明し、過去事例から商用スパイウェアや国家関与の攻撃が示唆される
- 影響対象は Android 14 / 15 / 16 / 16 QPR2
- 2026-06-01 と 2026-06-05 の 2 段階パッチが配布され、後者で Imagination・MediaTek・Qualcomm・Unisoc のチップセット修正も同梱
- Pixel 端末は 6 月版 OTA を配信開始、ベンダー実装機の配布時期は OEM ごとに異なる