Androidの重大な脆弱性修正: Googleが28の問題に対処

Googleは2024年4月のAndroidオペレーティングシステム(OS)のアップデートで、Qualcommチップを搭載したAndroidデバイスに影響を与える重大な脆弱性を含む28の脆弱性を修正した。このアップデートはAndroid 12、12L、13に対して提供されている。修正された脆弱性の中で最も重要なものは、CVE-2023-28582として公開されており、CVSSスコアは9.8で、Datagram Transport Layer Security (DTLS) ハンドシェイク中のhello-verifyメッセージを検証する際のData Modemでのメモリ破損と説明されている。この問題により、リモートの攻撃者がDTLSハンドシェイクの検証中にバッファオーバーフローを引き起こし、影響を受けるデバイス上でコードを実行する可能性がある。

また、GoogleはAndroid 13とAndroid 14に影響を与えるシステムコンポーネントの特権昇格(EoP)脆弱性CVE-2024-23704についても強調している。この脆弱性は、追加の実行権限なしでローカルの特権昇格を引き起こす可能性がある。

Pixelユーザーに対しては、限定的ながら標的型の攻撃の下で2つの高重大度の脆弱性が悪用されている可能性があると警告している。これらの脆弱性は、ブートローダーコンポーネントの情報漏洩脆弱性CVE-2024-29745と、Pixelファームウェアの特権昇格(EoP)脆弱性CVE-2024-29748である。Pixelデバイスでは、2024-04-05のセキュリティパッチレベルでこれらのセキュリティ脆弱性が解決される。

【関連記事】Googleが警告！古いAndroid端末の脆弱性と対策

【ニュース解説】

Googleは2024年4月のAndroidオペレーティングシステム(OS)のアップデートにおいて、Qualcommチップを搭載したAndroidデバイスに影響を与える重大な脆弱性を含む28の脆弱性を修正しました。このアップデートは、Android 12、12L、および13のバージョンに適用されます。特に注目される脆弱性は、CVE-2023-28582として公開されており、Datagram Transport Layer Security (DTLS) ハンドシェイク中にhello-verifyメッセージを検証する過程でData Modemにおけるメモリ破損が発生するものです。この脆弱性は、リモートの攻撃者がバッファオーバーフローを引き起こし、影響を受けるデバイス上で任意のコードを実行する可能性があるとされています。

また、GoogleはAndroid 13とAndroid 14に影響を与えるシステムコンポーネントの特権昇格(EoP)脆弱性CVE-2024-23704についても強調しています。この脆弱性は、追加の実行権限なしでローカルの特権昇格を引き起こす可能性があります。

Pixelユーザーに対しては、限定的ながら標的型の攻撃の下で2つの高重大度の脆弱性が悪用されている可能性があると警告されています。これらの脆弱性は、ブートローダーコンポーネントの情報漏洩脆弱性CVE-2024-29745と、Pixelファームウェアの特権昇格(EoP)脆弱性CVE-2024-29748です。Pixelデバイスでは、2024-04-05のセキュリティパッチレベルでこれらのセキュリティ脆弱性が解決されます。

このアップデートにより、ユーザーは自身のデバイスを最新のセキュリティ状態に保つことができ、潜在的な攻撃から保護されます。しかし、全てのAndroidデバイスが同時にアップデートを受けられるわけではないため、ユーザーは定期的に自身のデバイスのアップデート状況を確認し、可能な限り迅速にアップデートを適用することが重要です。

このような脆弱性の修正は、サイバーセキュリティの継続的な取り組みの一環として非常に重要です。攻撃者は常に新しい脆弱性を探し、悪用しようとするため、ソフトウェア開発者とユーザー双方が警戒を怠らず、セキュリティ対策を常に最新の状態に保つ必要があります。また、このようなアップデートは、デバイスの安全性を高めるだけでなく、個人情報の保護にも寄与します。セキュリティ脆弱性を放置することは、個人情報の漏洩や不正アクセスなど、深刻なリスクを招く可能性があるため、ユーザーはアップデートの重要性を理解し、適切な対応を取ることが求められます。

from Google patches critical vulnerability for Androids with Qualcomm chips.