Google は、Android オペレーティング システムの月例セキュリティ アップデートをリリースしました。これには 46 件の脆弱性の修正が含まれています。問題のうち 3 つは、実際に悪用されている可能性があります。
Google のセキュリティ情報には、「次の [脆弱性] が限定的かつ標的を絞った悪用を受けている可能性があるという兆候があります」と記載されており、CVE-2023-26083、CVE-2021-29256、および CVE-2023-2136 が強調表示されています。
CVE-2023-26083 は、 Bifrost、Avalon、および Valhall チップ用の Arm Mali GPU ドライバーに存在する中重大度のメモリ リークの欠陥であり、 2022 年 12 月にSamsung デバイスにスパイウェアを配信したエクスプロイト チェーンで悪用されました。
この脆弱性は、2023 年 4 月に連邦政府機関にパッチを適用するようCISA 命令を発令するほど深刻であるとみなされました。
CVE-2021-29256 は、重大度の高い (CVSS v3.1: 8.8) 非特権情報漏洩および root 権限昇格の欠陥であり、Bifrost および Midgard Arm Mali GPU カーネル ドライバーの特定のバージョンにも影響を与えます。
3 番目の脆弱性は、スコアが 10 点中 9.6 のクリティカル重大度で、 CVE-2023-2136 として識別されます。これは、Chrome でも使用されている Google のオープンソース マルチプラットフォーム 2D グラフィックス ライブラリである Skia の整数オーバーフローのバグで、 4 月に修正されました。
Google が今月修正したセキュリティ問題の中で最も深刻なものはCVE-2023-21250です。これは、Android バージョン 11、12、13 に影響を与える、Android のシステム コンポーネントの重大な脆弱性です。
CVE-2023-21250を悪用すると、ユーザーの操作や追加の実行権限なしでリモートでコードが実行される可能性があるとGoogleは述べているが、追加の詳細は明らかにしていない。
このアップデートは、コア Android コンポーネント (フレームワーク) 用の 1 つ (2023 年 7 月 1 日) と、カーネルおよびクローズド ソース コンポーネント用の 2 つ目 (2023 年 7 月 5 日) の 2 つのパッチ レベルをリリースする標準システムに従っており、デバイス メーカーが選択的に適用できるようになります。モデルのハードウェアに関するもの。
最初のパッチ レベルを取得したユーザーは、今月のフレームワーク更新プログラムと、前月 (この場合は 2023 年 6 月) の両方のレベルを受け取ります。
更新画面に 2 番目のパッチ レベルが表示されたユーザーは、上記のすべてに加えて、2023 年 7 月のベンダー パッチとカーネル パッチを取得します。
今月の Android セキュリティ アップデートは Android バージョン 11、12、13 を対象としていますが、対処された脆弱性の範囲によっては、サポートが終了した古い OS バージョンに影響を与える可能性があります。
そのような場合は、デバイスを新しいモデルに交換するか、遅れても古いデバイスのセキュリティ更新を実装するサードパーティの Android ディストリビューションをインストールすることをお勧めします。
Comments