2023 年 9 月の Android セキュリティ アップデートでは、現在世に出回っているゼロデイ バグを含む 33 件の脆弱性に対処しています。
この重大度の高いゼロデイ脆弱性 ( CVE-2023-35674 ) は Android フレームワークの欠陥であり、攻撃者がユーザーの操作や追加の実行権限を必要とせずに権限を昇格できるようになります。
Googleは火曜日に発行した勧告の中で、「CVE-2023-35674が限定的かつ標的を絞った悪用を受けている可能性がある兆候がある」と述べた。
「Android プラットフォームの新しいバージョンの機能強化により、Android 上の多くの問題の悪用はさらに困難になっています。可能な限り、すべてのユーザーに Android の最新バージョンにアップデートすることをお勧めします。」
この積極的に悪用されたゼロデイ バグのほかに、9 月の Android セキュリティ アップデートでは、Android システム コンポーネントの 3 つの重大なセキュリティ欠陥と、クアルコムのクローズド ソース コンポーネントの 1 つにも対処しています。
3 つの重大なシステム バグ (CVE-2023-35658、CVE-2023-35673、CVE-2023-35681) は、追加の実行権限やユーザーの操作を必要とせずに、悪用に成功した後にリモート コード実行 (RCE) を引き起こす可能性があります。
プラットフォームやサービスの緩和策が開発目的で無効化されているか、回避されている場合、攻撃者は RCE 攻撃でこれらの脆弱性を悪用する可能性があります。
4 番目の重大なバグ (CVE-2023-28581 として追跡) は、リモート攻撃者が任意のコードを実行したり、機密情報を読み取ったり、複雑性の低い攻撃でシステム クラッシュを引き起こしたりする可能性がある WLAN ファームウェアのメモリ破損の問題として Qualcomm によって説明されています。特権またはユーザーの操作が必要です。
2 つのセキュリティ パッチ レベル
いつものように、Google は 2023 年 9 月に 2 セットのパッチを発行し、セキュリティ パッチ レベル 2023-09-01 および 2023-09-05 のタグを付けました。
後者のパッチ レベルには、初期セットのすべてのセキュリティ修正と、すべての Android デバイスに関連するとは限らないサードパーティのクローズド ソースおよびカーネル コンポーネント用の追加パッチが含まれます。
デバイス ベンダーは、更新プロセスを迅速化するために初期パッチ レベルの展開を優先することを選択する場合がありますが、この選択は必ずしも悪用のリスクの増加を意味するものではありません。
また、毎月のセキュリティ アップデートをすぐに受け取る Google Pixel デバイスを除き、他のベンダーはハードウェア構成ごとにパッチをテストして微調整する時間が必要なため、セキュリティ アップデートをデバイスにプッシュするのに時間がかかることにも言及する価値があります。
今月の Android セキュリティ アップデートはバージョン 11、12、13 を対象としていますが、サポートされていない古い OS バージョンにも影響を与える可能性があります。
Android 10 以前を使用している場合は、サポートされているバージョンを実行しているデバイスにアップグレードするか、最新の AOSP バージョンに基づくサードパーティの Android ROM を使用して現在のデバイスをフラッシュすることを検討する必要があります。
Comments