公開日: 2025 年 12 月 1 日
この Android のセキュリティに関する公開情報には、Android デバイスに影響を及ぼすセキュリティの脆弱性の詳細を掲載しています。セキュリティ パッチレベル 2025-12-05 以降では、以下のすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。
この公開情報の初回の公開から 48 時間以内に、対応するソースコードのパッチを Android オープンソース プロジェクト(AOSP)リポジトリにリリースします。その後、AOSP リンクを追加してこの公開情報を改訂します。
以下の問題のうち最も重大度の高いのは、フレームワーク コンポーネントの重大なセキュリティの脆弱性により、追加の実行権限がなくてもリモートでサービス拒否攻撃を実行できるようになる問題です。重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合の影響に基づいています。プラットフォームやサービスでのリスク軽減策が、開発目的または不正な回避策により無効となっていると仮定しています。
Android セキュリティ プラットフォームの保護や Google Play プロテクトについて詳しくは、Android と Google Play プロテクトでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
Android パートナーには、情報公開の 1 か月前までにすべての問題が通知されます。
Android と Google サービスでのリスク軽減策
ここでは、Android セキュリティ プラットフォームの保護と Google Play プロテクトのようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らすものです。
- Android 上の多くの問題の悪用は、Android プラットフォームの最新版で機能が強化されるほど困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
- Android セキュリティ チームは、Google Play プロテクトによって脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。Google Play プロテクトは、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。
セキュリティ パッチレベル 2025-12-01 の脆弱性の詳細
以下に、パッチレベル 2025-12-01 に該当するセキュリティ脆弱性の各項目の詳細を示します。脆弱性は、影響を受けるコンポーネントごとに分類しています。下記の表に、問題の内容について説明し、CVE ID、関連する参照先、脆弱性のタイプ、重大度、更新対象の AOSP バージョン(該当する場合)を示します。 問題の対処法として一般公開されている変更内容(AOSP の変更の一覧など)が参照可能な場合は、バグ ID の欄にその情報へのリンクがあります。 複数の変更が同じバグに関係する場合は、バグ ID の後に記載されている番号に、追加の参照へのリンクが設定されています。 Android 10 以降を搭載したデバイスは、セキュリティ アップデートと Google Play システム アップデートを受信することがあります。
フレームワーク
このセクションの最も重大な脆弱性により、追加の実行権限を必要とすることなく、リモートでサービス拒否を引き起こされるおそれがあります。
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2025-48631 | A-444671303 | DoS | 重大 | 13、14、15、16 |
| CVE-2025-22420 | A-337775777 | EoP | 高 | 13、14、15、16 |
| CVE-2025-32319 | A-291281543 | EoP | 高 | 16 |
| CVE-2025-32328 | A-327137311 | EoP | 高 | 13, 14, 15 |
| CVE-2025-32329 | A-326926596 | EoP | 高 | 13, 14, 15 |
| CVE-2025-48525 | A-391895151 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48564 | A-403565650 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48565 | A-407763772 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48572 | A-385736540 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48573 | A-339637822 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48580 | A-393582077 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48583 | A-381885240 | EoP | 高 | 14、15、16 |
| CVE-2025-48588 | A-303408193 | EoP | 高 | 13, 14, 15 |
| CVE-2025-48589 | A-362492829 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48594 | A-427206637 | EoP | 高 | 14、15、16 |
| CVE-2025-48596 | A-438098181 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48597 | A-436270922 | EoP | 高 | 14、15、16 |
| CVE-2025-48601 | A-426207912 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48615 | A-433250316 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48617 | A-441823943 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48618 | A-404254549 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48620 | A-352024705 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48621 | A-266433089 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48627 | A-326571066 | EoP | 高 | 13、14 |
| CVE-2025-48629 | A-352518318 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48632 | A-443742829 | EoP | 高 | 14、15、16 |
| CVE-2025-48639 | A-301952571 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48591 | A-305710469 | ID | 高 | 13, 14, 15 |
| CVE-2025-48592 | A-427113482 | ID | 高 | 15、16 |
| CVE-2025-48628 | A-376462130 | ID | 高 | 13、14、15、16 |
| CVE-2025-48633 | A-417988098 | ID | 高 | 13、14、15、16 |
| CVE-2025-48576 | A-426205822 | DoS | 高 | 13、14、15、16 |
| CVE-2025-48584 | A-425662627 | DoS | 高 | 16 |
| CVE-2025-48590 | A-417987184 | DoS | 高 | 13、14、15、16 |
| CVE-2025-48603 | A-416259832 | DoS | 高 | 13、14、15、16 |
| CVE-2025-48607 | A-416490321 | DoS | 高 | 15、16 |
| CVE-2025-48614 | A-430568718 | DoS | 高 | 13、14、15、16 |
システム
このセクションの最も重大な脆弱性により、追加の実行権限を必要とすることなく、ローカルで権限が昇格され、バックグラウンド アクティビティが起動されるおそれがあります。
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2023-40130 | A-289809991 | EoP | 高 | 13、14、15、16 |
| CVE-2025-22432 | A-376461726 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48536 | A-388034510 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48566 | A-397216638 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48575 | A-417463103 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48586 | A-337784859 | EoP | 高 | 15、16 |
| CVE-2025-48598 | A-418774489 | EoP | 高 | 16 |
| CVE-2025-48599 | A-299633613 | EoP | 高 | 13、14 |
| CVE-2025-48612 | A-429417453 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48626 | A-381339822 | EoP | 高 | 13、14、15、16 |
| CVE-2025-48555 | A-396666065 | ID | 高 | 13、14、15、16 |
| CVE-2025-48600 | A-435188844 | ID | 高 | 15、16 |
| CVE-2025-48604 | A-305710989 | ID | 高 | 13、14、15、16 |
| CVE-2025-48622 | A-412662901 | ID | 高 | 13、14、15、16 |
Google Play システム アップデート
今月は Google Play システム アップデート(プロジェクト Mainline)で対処されたセキュリティ問題はありません。
セキュリティ パッチレベル 2025-12-05 の脆弱性の詳細
以下に、パッチレベル 2025-12-05 に該当するセキュリティ脆弱性の各項目の詳細を示します。脆弱性は、影響を受けるコンポーネントごとに分類しています。下記の表に、問題の内容について説明し、CVE ID、関連する参照先、脆弱性のタイプ、重大度、更新対象の AOSP バージョン(該当する場合)を示します。 問題の対処法として一般公開されている変更内容(AOSP の変更の一覧など)が参照可能な場合は、バグ ID の欄にその情報へのリンクがあります。 複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
カーネル
このセクションの最も重大な脆弱性により、追加の実行権限を必要とすることなく、ローカルで権限が昇格されるおそれがあります。
| CVE | 参照 | タイプ | 重大度 | サブコンポーネント |
|---|---|---|---|---|
| CVE-2025-48623 | A-436580278 アップストリーム カーネル [2] |
EoP | 重大 | pKVM |
| CVE-2025-48624 | A-443053939 アップストリーム カーネル |
EoP | 重大 | IOMMU |
| CVE-2025-48637 | A-443763663 アップストリーム カーネル [2] |
EoP | 重大 | pKVM |
| CVE-2025-48638 | A-442540376 アップストリーム カーネル [2] |
EoP | 重大 | pKVM |
| CVE-2024-35970 | A-432804305 アップストリーム カーネル [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] |
EoP | 高 | ネット |
| CVE-2025-38236 | A-432753641 アップストリーム カーネル [2] |
EoP | 高 | ネット |
| CVE-2025-38349 | A-432751421 アップストリーム カーネル [2] |
EoP | 高 | EPoll |
| CVE-2025-48610 | A-432439762 アップストリーム カーネル [2] |
ID | 高 | カーネル仮想マシン |
| CVE-2025-38500 | A-436201996 アップストリーム カーネル [2] |
EoP | 中 | XFRM |
カーネル LTS
次のカーネル バージョンが更新されました。カーネル バージョンの更新は、デバイスがリリースされたときの Android OS のバージョンによって異なります。
| 参照 | Android リリース バージョン | カーネル リリース バージョン | アップデートの最小バージョン |
|---|---|---|---|
| A-404245371 | 12 | 5.4 | 5.4.292 |
Arm コンポーネント
これらの脆弱性は Arm コンポーネントに影響を与えます。詳細については Arm から直接入手できます。これらの問題の重大度の評価は、Arm から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-6349 | A-428702264* | 高 | マリ | |
| CVE-2025-8045 | A-443063131* | 高 | マリ |
Imagination Technologies
以下の脆弱性は Imagination Technologies コンポーネントに影響を与えます。詳細については Imagination Technologies から直接入手できます。 これらの問題の重大度の評価は、Imagination Technologies から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | ||
|---|---|---|---|---|---|
| CVE-2025-6573 | A-384999601* | 高 | PowerVR-GPU | ||
| CVE-2025-25177 | A-416692063* | 高 | PowerVR-GPU | ||
| CVE-2025-46711 | A-425907218* | 高 | PowerVR-GPU | ||
| CVE-2025-58410 | A-429381687* | 高 | PowerVR-GPU |
MediaTek コンポーネント
これらの脆弱性は MediaTek コンポーネントに影響を与えます。詳細については MediaTek から直接入手できます。これらの問題の重大度の評価は、MediaTek から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-20725 | A-442288325 M-MOLY01671924* |
高 | ims サービス | |
| CVE-2025-20726 | A-442288324 M-MOLY01672598* |
高 | モデム | |
| CVE-2025-20727 | A-442295794 M-MOLY01672601* |
高 | モデム | |
| CVE-2025-20730 | A-442288321 M-ALPS10068463* |
高 | プリローダー | |
| CVE-2025-20750 | A-445777810 M-MOLY01661199* |
高 | モデム | |
| CVE-2025-20751 | A-445793670 M-MOLY01661195* |
高 | モデム | |
| CVE-2025-20752 | A-445793668 M-MOLY01270690* |
高 | モデム | |
| CVE-2025-20753 | A-445785195 M-MOLY01689252* |
高 | モデム | |
| CVE-2025-20754 | A-445785196 M-MOLY01689251* |
高 | モデム | |
| CVE-2025-20755 | A-445793671 M-MOLY00628396* |
高 | モデム | |
| CVE-2025-20756 | A-445793666 M-MOLY01673749* |
高 | モデム | |
| CVE-2025-20757 | A-445775439 M-MOLY01673751* |
高 | モデム | |
| CVE-2025-20758 | A-445775438 M-MOLY01673755* |
高 | モデム | |
| CVE-2025-20759 | A-445775437 M-MOLY01673760* |
高 | モデム | |
| CVE-2025-20790 | A-445775436 M-MOLY01677581* |
高 | モデム | |
| CVE-2025-20791 | A-445785199 M-MOLY01661189* |
高 | モデム | |
| CVE-2025-20792 | A-446071856 M-MOLY01717526* |
高 | モデム |
Unisoc コンポーネント
これらの脆弱性は Unisoc コンポーネントに影響を与えます。詳細については Unisoc から直接入手できます。これらの問題の重大度の評価は、Unisoc から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント | |
|---|---|---|---|---|
| CVE-2025-31717 | A-435065128 U-3037449* |
高 | モデム | |
| CVE-2025-31718 | A-435076697 U-3037571* |
高 | モデム | |
| CVE-2025-3012 | A-448234052 U-3080225* |
高 | モデム | |
| CVE-2025-11131 | A-448236351 U-3079792* |
高 | モデム | |
| CVE-2025-11132 | A-448253912 U-3080198* |
高 | モデム | |
| CVE-2025-11133 | A-448236352 U-3080202* |
高 | モデム | |
| CVE-2025-61607 | A-448276915 U-3080265* |
高 | モデム | |
| CVE-2025-61608 | A-448275674 U-3080269* |
高 | モデム | |
| CVE-2025-61609 | A-448277338 U-3080271* |
高 | モデム | |
| CVE-2025-61610 | A-448275675 U-3080273* |
高 | モデム | |
| CVE-2025-61617 | A-448253913 U-3080233* |
高 | モデム | |
| CVE-2025-61618 | A-448277334 U-3080237* |
高 | モデム | |
| CVE-2025-61619 | A-448276914 U-3080263* |
高 | モデム |
Qualcomm コンポーネント
Qualcomm コンポーネントに影響する脆弱性は次のとおりです。詳細については、該当する Qualcomm のセキュリティに関する公開情報やセキュリティ アラートをご覧ください。これらの問題の重大度の評価は、Qualcomm から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント |
|---|---|---|---|
| CVE-2025-47351 | A-430043154 QC-CR#4115551 |
高 | カーネル |
| CVE-2025-47354 | A-430042895 QC-CR#4090786 |
高 | カーネル |
| CVE-2025-47382 | A-442620646 QC-CR#4152954 |
高 | ブートローダー |
Qualcomm クローズドソース コンポーネント
以下の脆弱性は Qualcomm クローズドソース コンポーネントに影響を与えます。詳細については、該当する Qualcomm のセキュリティに関する公開情報やセキュリティ アラートをご覧ください。これらの問題の重大度の評価は、Qualcomm から直接提供されたものです。
| CVE | 参照 | 重大度 | サブコンポーネント |
|---|---|---|---|
| CVE-2025-47319 | A-421905250* | 重大 | クローズドソース コンポーネント |
| CVE-2025-47372 | A-442619421* | 重大 | クローズドソース コンポーネント |
| CVE-2025-27053 | A-409046800* | 高 | クローズドソース コンポーネント |
| CVE-2025-27054 | A-409047704* | 高 | クローズドソース コンポーネント |
| CVE-2025-27070 | A-415773046* | 高 | クローズドソース コンポーネント |
| CVE-2025-27074 | A-415772654* | 高 | クローズドソース コンポーネント |
| CVE-2025-47323 | A-421904320* | 高 | クローズドソース コンポーネント |
| CVE-2025-47370 | A-436259460* | 高 | クローズド ソース コンポーネント |
一般的な質問と回答
上記の公開情報に対する一般的な質問とその回答は以下のとおりです。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。
- セキュリティ パッチレベル 2025-12-01 以降では、セキュリティ パッチレベル 2025-12-01 に関連するすべての問題に対処しています。
- セキュリティ パッチレベル 2025-12-05 以降では、セキュリティ パッチレベル 2025-12-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。
デバイス メーカーは、こうしたアップデートを組み込む場合、パッチレベル文字列を以下のとおり設定する必要があります。
- [ro.build.version.security_patch]:[2025-12-01]
- [ro.build.version.security_patch]:[2025-12-05]
Android 10 以降を搭載した一部のデバイスでは、Google Play システム アップデートに、セキュリティ パッチレベル 2025-12-01 と一致する日付文字列が含まれます。セキュリティ アップデートのインストール方法について詳しくは、こちらの記事をご覧ください。
2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?
この公開情報で 2 つのセキュリティ パッチレベルを定義しているのは、すべての Android デバイスにまたがる同様の脆弱性をひとまとめにして、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。
- 2025-12-01 のセキュリティ パッチレベルを使用するデバイスには、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を含める必要があります。
- 2025-12-05 以降のセキュリティ パッチレベルを使用するデバイスには、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。
パートナーは、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。
3. 「タイプ」列の項目はどういう意味ですか?
脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。
| 略語 | 定義 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 権限昇格 |
| ID | 情報開示 |
| DoS | サービス拒否攻撃 |
| なし | 該当する分類なし |
4. 「参照」列の項目はどういう意味ですか?
脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
| QC- | Qualcomm の参照番号 |
| M- | MediaTek の参照番号 |
| N- | NVIDIA の参照番号 |
| B- | Broadcom の参照番号 |
| U- | UNISOC の参照番号 |
5. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?
公開されていない問題には、対応する参照 ID の横に「*」を付けています。この問題のアップデートは、Google デベロッパー サイトから入手できる Pixel デバイス用最新バイナリ ドライバに通常含まれています。
6. セキュリティの脆弱性が、この公開情報とデバイスやパートナーのセキュリティに関する公開情報(Google Pixel のセキュリティに関する公開情報など)に分けられているのはなぜですか?
Android デバイスの最新のセキュリティ パッチレベルを宣言するためには、このセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要となります。それ以外の、デバイスやパートナーのセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処は、セキュリティ パッチレベルを宣言するために必須ではありません。また、Android デバイスやチップセットのメーカー(Google、Huawei、LGE、Motorola、Nokia、Samsung など)からも、各社製品に固有のセキュリティの脆弱性に関する詳細情報が公開される場合があります。
バージョン
| バージョン | 日付 | メモ |
|---|---|---|
| 1.0 | 2025 年 12 月 1 日 | 情報公開 |