MEDIUMCVE-2026-0049

LocalImageResolver.java の onHeaderDecoded において、リソースの枯渇により、可能性のある永続的なサービス拒否 (denial of service) が存在します。これにより、追加の実行権限なしにローカルでのサービス拒否が発生する可能性があります。

プラットフォーム

android

コンポーネント

localimageresolver

修正版

16.0.1

16-qpr2

AI Confidence: highNVDEPSS 0.0%レビュー済み: 2026年4月

NVDで見る

保存

LocalImageResolver.java の onHeaderDecoded 関数において、リソースの枯渇を引き起こす可能性のある脆弱性が存在します。この脆弱性は、ローカルでのサービス拒否 (DoS) 攻撃につながる可能性があり、追加の実行権限は必要ありません。影響を受けるバージョンは Android 14–16-qpr2 です。Android 16-qpr2 以降で修正されています。

影響と攻撃シナリオ

CVE-2026-0049 は、Android の LocalImageResolver.java コンポーネント、特に onHeaderDecoded 関数内で発生する、永続的なサービス拒否（DoS）の脆弱性です。この脆弱性は、画像の処理中にリソースが枯渇することから生じます。ローカルの攻撃者は、この欠陥を利用してサービス拒否を引き起こし、デバイスが正しく機能しなくなる可能性があります。エクスプロイトには追加の特権は必要なく、ユーザーの操作も不要であるため、エクスプロイトのリスクが高まります。この脆弱性の重大性は、デバイスの通常の動作を妨害し、重要な操作中にデバイスが予期せず再起動した場合にデータ損失につながる可能性があるという点にあります。このリスクを軽減するために、セキュリティアップデート 16-qpr2 を適用することを強くお勧めします。

悪用の状況

CVE-2026-0049 のエクスプロイトには、Android デバイスへのローカルアクセスが必要です。攻撃者は、システムリソースを枯渇させるように設計された一連の特別に作成された画像を送信することで、この脆弱性をエクスプロイトできます。ユーザーの操作が必要ないため、エクスプロイトは静かに、ユーザーに気づかれることなく発生する可能性があります。たとえば、攻撃者は画像を処理するアプリケーションまたはサービスを通じて悪意のある画像を送信する可能性があります。LocalImageResolver.java 内の画像のヘッダーの適切な検証がないため、過剰なリソース消費が発生し、サービス拒否につながります。この脆弱性は、リソースが限られているデバイスで特に懸念されます。なぜなら、リソースの枯渇がより迅速に発生する可能性があるからです。

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

レポート1 脅威レポート

EPSS

0.01% (1% パーセンタイル)

影響を受けるソフトウェア

コンポーネントlocalimageresolver

ベンダーGoogle

影響範囲修正版

16-qpr2 – 16-qpr216.0.1

16 – 1616-qpr2

15 – 1516-qpr2

14 – 1416-qpr2

タイムライン

予約済み2025-10-15
公開日2026-04-06
更新日2026-04-13
EPSS 更新日2026-04-14

緩和策と回避策

CVE-2026-0049 の解決策は、Android デバイスをバージョン 16-qpr2 以降にアップデートすることです。このアップデートには、LocalImageResolver.java 内のリソース枯渇の脆弱性を修正するために必要な修正が含まれています。デバイスメーカーおよび携帯電話事業者はお客様を保護するために、このアップデートをできるだけ早く展開する必要があります。さらに、お客様は既知の脆弱性に対する最大の保護を確保するために、デバイスを最新のセキュリティパッチで最新の状態に保つことをお勧めします。この脆弱性とその他の脆弱性に関する最新情報を取得するために、公式の Android セキュリティソースを監視することが推奨されるプラクティスです。アップデートは、画像のヘッダーの処理方法を修正し、過剰なリソース消費を防ぎます。

修正方法翻訳中…

Actualice su dispositivo Android a la versión 16-qpr2 o posterior para mitigar el riesgo de denegación de servicio. Esta actualización aborda una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio local agotando los recursos del sistema.  Asegúrese de que su dispositivo esté configurado para recibir actualizaciones automáticas de seguridad.

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-0049 とは何ですか？（LocalImageResolver の Denial of Service (DoS)）

サービス拒否とは、ネットワークサービスまたはリソースを正当なユーザーが利用できなくする試みを目的とした攻撃です。

LocalImageResolver の CVE-2026-0049 による影響を受けていますか？

デバイスの設定に移動し、「ソフトウェアアップデート」を検索して、利用可能なアップデートがないか確認してください。

LocalImageResolver の CVE-2026-0049 を修正するにはどうすればよいですか？

ヘルプについては、デバイスのメーカーまたは携帯電話事業者にお問い合わせください。

CVE-2026-0049 は積極的に悪用されていますか？

この脆弱性は、16-qpr2 より前のバージョンの Android を実行し、LocalImageResolver.java コンポーネントを使用しているデバイスに影響します。

CVE-2026-0049 に関する LocalImageResolver の公式アドバイザリはどこで確認できますか？

16-qpr2 以降のバージョンにデバイスをアップデートしない限り、実行可能な回避策はありません。