米CISA、AndroidとLinuxの脆弱性が悪用されていると警告（CVE-2025-48595、CVE-2022-0492）

nosa

2026.06.04

米CISA、AndroidとLinuxの脆弱性が攻撃で悪用されていると警告（CVE-2025-48595、CVE-2022-0492）

BleepingComputer – June 3, 2026

AndroidオペレーティングシステムとLinuxカーネルの脆弱性を悪用した攻撃について、米サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が警鐘を鳴らした。

1つ目の脆弱性はCVE-2025-48595として追跡され、Androidフレームワークにおける深刻な整数オーバーフローの不具合と説明されている。この欠陥は権限昇格に悪用される恐れがあり、CISAのKEV（悪用が確認された脆弱性）カタログにも最近追加されたばかりだ。

Googleのセキュリティブレティンによると、CVE-2025-48595はAndroid 14〜16に影響を与え、ユーザー操作の必要なく悪用可能とのこと。同社は限定的な標的型攻撃に利用されている可能性を示唆しているが、技術面を含む詳細については明らかにしていない。なお、この問題は2026年6月のセキュリティパッチ（2026年6月1日および2026年6月5日版）で対処済みとされている。

KEVカタログに追加されたもう1つの脆弱性は、CVE-2022-0492として追跡されているもの。これは深刻度の高い権限昇格の脆弱性とされ、Linuxカーネルの2.6〜4.20および5.5〜5.17まで複数のブランチに影響を与えるという。Aqua Securityとパロアルトネットワークスが過去に公開したレポートによると、この問題は主にcgroups v1を使用するコンテナ環境に影響を与え、コンテナに管理者権限が付与されている場合に特に危険とされる。

どちらの脆弱性も現時点ではランサムウェアグループに悪用されているかは不明なようだが、CISAは拘束力のある運用指令（BOD）22-01に基づき、5日までにパッチを適用するよう各機関に命じた。

バグハンターが再びマイクロソフトの脆弱性情報をリーク、同社の脆弱性開示対応に反発

The Register – Wed 03 Jun 2026

マイクロソフトのセキュリティ報告への対応に失望したバグハンターから、同社製品に影響を与える脆弱性情報が再びリークされたようだ。

Ammar Askar氏はGitHubに勤める「旧知の人物」へ事前に告知してから1時間後、Visual Studio Code（VS Code）の脆弱性に対するPoCエクスプロイトを公開したと述べている。同氏が公表した脆弱性は、攻撃者が自身で作成したリポジトリ、あるいはすでに侵害したリポジトリを設定し、VS Codeのワークスペース推奨機能を通じて有害な拡張機能をプッシュすることで、OAuthトークンを盗み出し、これを使ってGitHubの公開リポジトリと非公開リポジトリの読み書きを行うものだ。この脆弱性は、GitHubリポジトリをブラウザ版VS Codeで開くことができるgithub.dev機能を利用したすべてのユーザーに影響を与えるという。

Askar氏は過去にマイクロソフトセキュリティレスポンスセンター（MSRC）で不快な経験をしたことから、通常の「責任ある情報開示」プロセスを経ず、GitHubへ情報を提供した直後にPoCを公開したそうだ。前回、VS Codeのバグ報告に関してMSRCとやり取りした際には、自らの功績が一切認められることなく、問題を密かに修正されていた上、セキュリティへの影響もないことにされたと主張している。同氏は今後、VS Codeでセキュリティバグを見つけた場合にはそれらをすべて公開する意向を示しており、Starlabsが最近発表したVS CodeのXSSバグに関するレポートを見る限り、MSRCのVS Codeバグへの対応は全く改善されていないようだと断じた。

事前通知なくゼロデイをリークした研究者といえば、1日にお伝えした「Nightmare Eclipse（Chaotic Eclipse）」も記憶に新しい。元マイクロソフト社員とも噂されるNightmare Eclipseは、これまで6件のゼロデイ脆弱性を公開。そのうち3件は直ちに攻撃で悪用されたことが確認されている。マイクロソフトは6つ目のゼロデイが公開された後、法執行機関と緊密に連携するデジタル犯罪対策ユニットを使ってこの研究者に圧力をかけたが、大きな批判を受けてすぐに撤回した。