Androidのセキュリティアップデートがリリースされ5つの重要度の高い脆弱性と、56の脆弱性に対する修正が追加されました。このうちの1件は、最低でも去年12月から悪用されているゼロデイ脆弱性とされています。
これらの問題の中で最も深刻なのは、システムコンポーネントの重大なセキュリティ脆弱性す。HFPサポートが有効になっている場合、追加の実行権限が必要なくBluetooth経由でリモートコードが実行される可能性があるとの事。悪用にユーザーの操作は不要です。
また、新しいセキュリティパッチのレベル「2023-06-05」には、ArmのMali GPUカーネルドライバーにおける「CVE-2022-22706」という重大度の高い欠陥の修正が統合されています。Googleの脅威分析グループ(TAG)は、この欠陥がSamsungの携帯電話を標的としたスパイウェアキャンペーンで使用されていた可能性があると考えています。
既に悪用の事実のあるゼロデイ脆弱性が修正されているので、Pixelユーザーなど、最新のセキュリティパッチが適用可能なAndroidユーザーは速やかにアップデートを適用しておきましょう。
2023年6月:Androidのセキュリティパッチの概要
2023年6月度のAndroidのアップデートで修正された重大度の高い欠陥は次の通りです。
- CVE-2023-21127:Android Frameworkのリモートコード実行の欠陥。Android 11、12、および13に影響を与えます。「2023-06-01」のセキュリティパッチレベルで修正されました。
- CVE-2023-21108:Android Systemのリモートコード実行の欠陥。Android 11、12、および13に影響を与えます。「2023-06-01」のセキュリティパッチレベルで修正されました。
- CVE-2023-21130:Android Systemのリモートコード実行の欠陥。Android 13に影響を与えます。「2023-06-01」のセキュリティパッチレベルで修正されました。
- CVE-2022-33257:未定義のタイプの重大な欠陥。Qualcommの非公開コンポーネントに影響を与えます。「2023-06-05」のセキュリティパッチレベルで修正されました。
- CVE-2022-40529:未定義のタイプの重大な欠陥。Qualcommの非公開コンポーネントに影響を与えます。「2023-06-05」のセキュリティパッチレベルで修正されました。
※CVE-2022-22706 は限定的かつ標的を絞った悪用を受けている可能性があるという兆候があります。
その他のアップデート内容は以下の公式サイトでご確認ください。
Android 10以前のデバイスはサポートされないので注意
なお、Android 10以前のデバイスはサポートされておらず、このセキュリティアップデートは受け取れません。
古いスマホを使用しているユーザーは、潜在的な影響のリスクに注意する必要があります。新しいアクティブにサポートされているAndroidスマホに買い替えるか、通常は遅れが発生しますが、依然としてセキュリティ修正を提供しているサードパーティのAndroidディストリビューションに移行する必要があります。
セキュリティパッチの適用方法
Google Pixelシリーズにおける、セキュリティパッチの適用方法は以下の通りです。
※アップデートによる不具合の可能性を考慮し、事前にデータのバックアップはしっかり取ってからアップデートを行いましょう。
参考サイト:BLEEPINGCOMPUTER
コメント