英語版で読む
技術 約5分で読めます

Android 2026年6月更新は悪用兆候のあるCVE-2025-48595を塞ぐ

Android セキュリティ CVE 脆弱性
いけさん目次

TL;DR

影響 Android 14、15、16、16-qpr2 のFramework。CVE-2025-48595はCVSS 3.1で8.4 HIGH(CISA-ADP評価。NVD本体は未採点)

悪用状況 Googleは限定的標的型悪用の兆候ありと記載。CISA KEVにも2026年6月2日に追加済み

対応 端末のAndroidセキュリティパッチレベルを2026-06-01以降へ上げる。チップセットやカーネル側まで含めるなら2026-06-05以降で確認する

Googleが2026年6月のAndroid Security Bulletinを公開し、The Hacker Newsは124件の修正として報じた。Bulletin全体ではCriticalが18件含まれる。
今回の目立つ点は件数より、FrameworkのCVE-2025-48595が「limited, targeted exploitation」(限定的かつ標的を絞った悪用)の可能性ありとして載ったことだ。
Android 14、15、16、16-qpr2が対象で、ユーザー操作なし、追加権限なしのローカル権限昇格に分類されている。

CWEではCWE-190(整数オーバーフロー)に当たる。
整数オーバーフローは、計算結果が変数の扱える範囲を超えて巻き戻り、想定より小さな値(符号付きなら負の値)になってしまうバグだ。
バッファ長やインデックスの計算でこれが起きると、本来確保したサイズより小さい領域に書き込んだり、想定外のオフセットを参照したりして、メモリ破壊からコード実行へつながることがある。
CVE-2025-48595はFrameworkの複数箇所でこの計算がずれる経路があり、それがローカル権限昇格に届く、という内容になっている。

5月に書いたWireless ADBのCVE-2026-0073は、同じAndroid 14〜16/16-qpr2でも隣接ネットワークから adbd に届く話だった。
今回はFramework側の整数オーバーフローで、NVD/CISA-ADPのベクトルも AV:L になっている。
インターネット越しの入口ではなく、端末上で何かが動いた後の権限上げに当たる。

2026-06-01と2026-06-05の差

Androidの月例パッチは、今回も2026-06-01と2026-06-05の2段階に分かれている。
2026-06-01がベースライン、2026-06-05はその上位互換(スーパーセット)で、2026-06-05以降のパッチレベルなら今回公開された問題をすべて含む扱いになる。

パッチレベル含まれる範囲CVE-2025-48595チップセット/カーネル修正
2026-06-01Android platform(Framework・System)含む含まない
2026-06-052026-06-01の全部 + 追加含む含む(カーネル, Imagination, MediaTek, Qualcomm, Unisoc等)

CVE-2025-48595はFrameworkの表に載っているので、端末のパッチレベルが2026-06-01以降なら、このCVE単体の修正としては条件を満たす。
ただしチップセットやカーネル側まで6月分を潰したいなら2026-06-05以降が必要になる。
端末管理で「6月更新済み」と扱うときは、単に月名だけでなく、表示が2026-06-01なのか2026-06-05なのかを分けて記録する。

CVE-2025-48595は高深刻度の権限昇格

CVE-2025-48595の説明は短い。
複数箇所で整数オーバーフローによりコード実行へつながる経路があり、ローカル権限昇格に届く、という内容だ。
CISA-ADPのCVSS 3.1は AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H で8.4 HIGHになっている。

PR:NUI:N は、攻撃に追加権限やユーザー操作を要求しないことを示す。
一方で AV:L なので、ネットワーク越しに直接叩けるRCEとは扱いが違う。
悪用チェーンの中では、不正アプリなどで先に端末上のコード実行を取った後、権限を上げる段として使われる。

Googleは誰が、どの標的に、どの規模で使ったかを出していない。
この書き方はAndroidの月例Bulletinでは珍しくないが、CISA KEV(Known Exploited Vulnerabilities catalog=米CISAが「実際に悪用が確認された」と認定した脆弱性を載せるカタログ)に入った時点で、公開情報として悪用済み扱いになる。
KEV入りは、米連邦政府の文民行政機関(FCEB=Federal Civilian Executive Branch)に対してはBOD 22-01という指令で期限内の対応が義務づけられる。強制力があるのはFCEBに限られ、民間や他の機関に直接の義務はないが、悪用が現に起きている脆弱性の優先リストとして広く参照される。
NVDのCVEページでも、CISA KEVの項目として2026年6月2日追加、期限2026年6月5日、必要な対応はベンダー指示に従った緩和または利用停止と表示されている。

Criticalは別にある

今回のBulletinでFrameworkのCriticalに分類されているのは、CVE-2025-48595ではなく別の2件だ。
権限昇格のCVE-2025-65018(EoP, Critical)とサービス妨害のCVE-2025-64720(DoS, Critical)で、いずれもAndroid 14、15、16、16-qpr2が対象になっている。

悪用兆候が書かれているのはHighのCVE-2025-48595。
Bulletin内で最も重い影響として説明されているのはCriticalのFramework脆弱性。
端末更新の優先度としてはどちらか一方ではなく、同じ2026年6月パッチとしてまとめて潰す。

MDMや資産管理でCVE単位にチケットを切っている環境では、CVE-2025-48595だけをKEV対応として追うと、CVE-2025-65018を見落とす。
Bulletinを確認する時は、悪用有無と重大度を別の列で持つ。

端末で見る日付

端末側で確認するのは「Androidセキュリティアップデート」の日付だ。
GUIなら「設定」→「セキュリティとプライバシー」→「セキュリティアップデート」(メーカーにより「システム」配下の場合あり)に表示される。
コマンドなら adb shell getprop ro.build.version.security_patch で同じ値が取れる。

取れた日付をそのままパッチレベルの判定に使える。

flowchart TD
  A[security_patch の日付を確認] --> B{2026-06-01 以降か}
  B -->|未満| C[6月分は未適用<br/>更新を待つか手動更新]
  B -->|以降| D{2026-06-05 以降か}
  D -->|未満| E[CVE-2025-48595 は修正済み<br/>チップセット/カーネル 分は未適用]
  D -->|以降| F[6月分すべて適用済み]

Pixelや一部メーカー端末なら早く降ってくるが、Android全体ではメーカー、通信キャリア、地域で配信時期がずれる。
GoogleのBulletinが出た日と手元の端末が更新済みになる日は一致しない。

開発端末や検証端末では、OS本体のセキュリティパッチ日付に加えて、Google Play system updateの日付も記録しておく。
5月のWireless ADB記事でも触れた通り、Android 10以降では一部の修正がGoogle Play system update側に乗る。
今回のCVE-2025-48595自体はFramework表の項目だが、6月分を棚卸しするなら両方の日付が残っているほうが後で追いやすい。

参考