Google は、Android 向けの 2022 年 12 月のセキュリティ アップデートをリリースしました。このアップデートでは、Bluetooth 経由で悪用可能なリモート コード実行の欠陥を含む 4 つの深刻な脆弱性が修正されています。
今月の更新プログラムは、パッチ レベル 2022-12-01 でコア Android コンポーネントの 45 の脆弱性に対処し、パッチ レベル 2022-12-05 で対処されたサードパーティ コンポーネントに影響を与える別の 36 の脆弱性に対処します。
「これらの問題の中で最も深刻なのは、システム コンポーネントの重大なセキュリティの脆弱性であり、追加の実行権限を必要とせずに Bluetooth を介してリモートでコードを実行できる可能性があります」と、 セキュリティ速報に記載されています。
今月の更新で対処された 4 つの重大度の脆弱性は次のとおりです。
- CVE-2022-20472 – Android フレームワークのリモート コード実行の欠陥で、Android バージョン 10 から 13 に影響します。
- CVE-2022-20473 – Android フレームワークのリモート コード実行の欠陥で、Android バージョン 10 から 13 に影響します。
- CVE-2022-20411 – Android システムのリモート コード実行の欠陥で、Android バージョン 10 から 13 に影響します。
- CVE-2022-20498 – Android システムの情報開示の欠陥であり、Android バージョン 10 から 13 に影響します。
残りの修正された脆弱性には、特権の昇格 (EoP)、リモート コード実行、情報漏えい、およびサービス拒否の問題が含まれます。
重大度の高い EoP の欠陥は通常、無害なアプリになりすました悪意のあるソフトウェアをインストールするなど、権限の低い経路を介してデバイスに忍び込むマルウェアによって悪用されます。
とはいえ、現在、積極的に悪用されていると報告されている欠陥がない場合でも、利用可能なアップデートがデバイスで利用可能になったらすぐに適用することが重要です.
お使いのデバイスが毎月の Android セキュリティ アップデートを受け取らなくなった場合、または Android 9 以前を使用している場合は、正式にサポート対象外です。
このような場合は、新しいデバイスにアップグレードするか、LineageOS などの最新の Android バージョンに基づくカスタム ROM をインストールすることをお勧めします。
Google Pixel デバイスの所有者は、今月、重要なセキュリティ アップデートも受け取りました。これは、さまざまなコンポーネントの合計 16 の重大な欠陥に対処しています。
これらの重大な脆弱性により、攻撃者はターゲット デバイスで権限を昇格させたり、情報を開示したりすることができます。
Pixel の 2022 年 12 月のアップデートの詳細については、Google 独自のスマートフォン シリーズ専用のセキュリティ速報をご覧ください。
Comments