CISA、Androidフレームワークの脆弱性（CVE-2025-48572、CVE-2025-48633）をKEVカタログに追加

CISA、Androidフレームワークの脆弱性（CVE-2025-48572、CVE-2025-48633）をKEVカタログに追加

Security Affairs – December 02, 2025

米CISAは、Androidフレームワークの深刻度の高い脆弱性（CVE-2025-48572、CVE-2025-48633）をKEVカタログに追加した。どちらも限定的かつ標的型の攻撃に使用された可能性があるとのこと。

それぞれの脆弱性の詳細は以下の通りで、いずれも12月1日にGoogleが公開した月例セキュリティアップデートで修正されている。

• CVE-2025-48572：Androidフレームワークにおける権限昇格の脆弱性
• CVE-2025-48633：Androidフレームワークにおける情報漏洩の脆弱性

Googleによる12月のAndroidアップデートでは、上記を含め、システム・カーネル・主要ベンダーコンポーネントで見つかった107件の脆弱性が修正された。このアップデートでは、デバイス間での修正を高速化するために2つのパッチレベル（2025-12-01、2025-12-05）が提供されており、特に2025-12-05はすべての問題に対処した完全版となっている。Googleは、CVE-2025-48572やCVE-2025-48633が「限定的な標的型攻撃の対象である可能性を示す兆候」の存在に言及したものの、これらを悪用した攻撃に関する技術的な詳細を公開していない模様。

米連邦政府文民機関（FCEB）は、CISAの「拘束力のある運用指令（BOD）22-01：既知の悪用された脆弱性による重大なリスクの軽減」に従い、2025年12月23日までに脆弱性を修正する必要がある。また、民間組織もKEVカタログを確認し、インフラの脆弱性に対処することが推奨されている。

【無料配布中レポート】

各種レポートを無料配布中！バナー画像よりダウンロード可能です。

地政学レポート

インテリジェンス要件定義に関するガイドブック

ディープ＆ダークウェブレポート