Source: https://www.securityweek.com/samsung-patches-zero-day-exploited-against-android-users/
🛡 概要
Samsungは2025年9月のセキュリティアップデートで、Androidデバイス向けにゼロデイ脆弱性の修正を行いました。この脆弱性は、実際に悪用されていることが確認されており、CVE-2025-21043としてトラッキングされています。CVSSスコアは8.8で、Samsungデバイスで画像を処理するアプリケーションが使用するlibimagecodec.quram.soライブラリにおけるアウトオブバウンズ書き込みの問題です。
🔍 技術詳細
この脆弱性は、リモート攻撃者が脆弱なデバイス上で任意のコードを実行することを可能にします。Samsungは、MetaとWhatsAppのセキュリティチームから2025年8月13日に報告を受けたとしています。報告された脆弱性は、WhatsAppユーザーをターゲットにした攻撃で利用された可能性があり、関連するCVE-2025-43300やCVE-2025-55177も同様の問題を含んでいます。CVE-2025-55177は、特定のターゲットユーザーに対する高度な攻撃の一環として、WhatsAppの脆弱性と連携していたとされています。
⚠ 影響
この脆弱性の影響を受けるデバイスは、特にWhatsAppを利用しているユーザーに対して深刻です。攻撃者は、OSレベルのコードに対するアウトオブバウンズ書き込みを利用して、iOSおよびAndroidデバイスの両方でコード実行を達成することが可能です。これにより、ジャーナリストや人権擁護者など、社会的に重要な役割を担う個人が標的にされる危険性が増しています。
🛠 対策
ユーザーは、Samsungから提供される最新のセキュリティアップデートを速やかに適用することが重要です。また、WhatsAppや他のアプリケーションの最新バージョンを使用し、定期的にセキュリティ設定を確認することが推奨されます。特に、公共のWi-Fi環境では、VPNを利用することで通信の安全性を高めることができます。攻撃に対する警戒を怠らず、常に最新の情報を確認することが、自己防衛の第一歩です。
