Source: https://thehackernews.com/2025/09/samsung-fixes-critical-zero-day-cve.html
🛡 概要
Samsungは、Android用の月次セキュリティ更新をリリースし、ゼロデイ攻撃で悪用されている脆弱性に対する修正を含めました。この脆弱性は、CVE-2025-21043として知られ、CVSSスコアは8.8です。この問題は、境界外書き込みに関するもので、任意のコード実行を引き起こす可能性があります。Samsungによると、この脆弱性は特に危険であり、迅速な対応が求められました。
🔍 技術詳細
CVE-2025-21043は、libimagecodec.quram.soというライブラリにおける境界外書き込みの問題です。このライブラリは、Quramsoftによって開発されたクローズドソースの画像解析ライブラリであり、さまざまな画像フォーマットのサポートを実装しています。この脆弱性は、2025年9月のSMRリリース1以前のバージョンに影響を及ぼし、リモート攻撃者が任意のコードを実行できる可能性があります。Samsungは、攻撃者がこの脆弱性を利用して悪意のあるコードを実行できることを警告しています。さらに、Google Project Zeroの2020年の報告によれば、このライブラリは多くのAndroidデバイスで広く使用されているため、影響は非常に広範囲に及ぶと見込まれています。
⚠ 影響
この重大な脆弱性は、Androidバージョン13、14、15、16に影響を与えます。Samsungは、2025年8月13日にこの脆弱性が私的に開示されたと報告しています。攻撃者がこの脆弱性を悪用する方法についての具体的な情報は提供されていませんが、Samsungは「この問題に対するエクスプロイトが既に存在している」と認めており、ユーザーのデータやデバイスが危険にさらされる可能性があります。攻撃を受けた場合、個人情報の漏洩やデバイスの完全な制御を失うリスクがあるため、ユーザーは特に注意が必要です。
🛠 対策
ユーザーは、Samsungの最新のセキュリティパッチを適用することで、この脆弱性から保護されるべきです。具体的には、設定メニューからソフトウェアの更新を確認し、最新のアップデートをインストールすることが推奨されます。また、公式のセキュリティ情報を定期的に確認し、推奨されるセキュリティ対策を講じることが重要です。特に、未知のアプリケーションやリンクを避けることで、リスクを軽減できます。さらに、定期的なバックアップも推奨され、万が一のデータ損失に備えることが重要です。最後に、セキュリティソフトウェアの導入を検討することも有効な対策です。
