Google、Androidで悪用されている3つの脆弱性に対するパッチをリリース

Hacker Newsによると、Googleが修正したAndroidの脆弱性のうち3つが標的型攻撃に悪用されている。そのうちの1つ（コードネームCVE-2023-26083）は、Bifrost、Avalon、Valhallチップ用のArm Mali GPUドライバーに影響を与えるメモリリークである。

この脆弱性は、2022年12月にSamsungデバイスにスパイウェアをインストールする攻撃で悪用されました。これは深刻であると判断され、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は2023年4月に連邦政府機関にパッチ命令を発行しました。

CVE-2021-29256でコード化されたもう一つの重大な脆弱性は、深刻度「高」に分類され、BifrostおよびMidgard Arm Mali GPUコアドライバの特定のバージョンに影響を与えます。この脆弱性により、権限のないユーザーが機密データへの不正アクセスを取得し、権限を最高レベルに昇格することが可能になります。

3番目に悪用された脆弱性はCVE-2023-2136で、Googleのクロスプラットフォームオープンソース2DグラフィックライブラリであるSkiaに存在する深刻度の高い脆弱性です。当初はChromeブラウザのゼロデイ脆弱性として特定されていましたが、この脆弱性を悪用すると、リモートの攻撃者がサンドボックスを回避し、Androidデバイスにリモートでコードを展開する権限を取得できるようになります。

Googleの7月のAndroidセキュリティパッチは、Androidシステムコンポーネントに影響を及ぼす重大な脆弱性CVE-2023-21250にも対処しています。この問題により、ユーザーの操作や追加の権限なしにリモートコードが実行される恐れがあります。

これらのセキュリティアップデートは2段階に分けて提供されます。7月1日にリリースされた最初のパッチは、Androidのコアコンポーネントに焦点を当て、フレームワークとシステムコンポーネントの22件のセキュリティ脆弱性を修正しました。7月5日にリリースされた2番目のパッチは、カーネルとクローズドソースコンポーネントの脆弱性を修正し、カーネルコンポーネント、Armチップ、およびMediaTekとQualcommプロセッサの画像技術の20件の欠陥を修正しました。

ただし、これらの脆弱性の影響は、サポートされている Android バージョン (11、12、13) を超えて広がる可能性があり、公式サポートを受けられなくなった古いバージョンのオペレーティング システムにも影響を及ぼす可能性があります。

Googleは、Pixelデバイスのコンポーネントに存在する14件の脆弱性を修正するセキュリティパッチもリリースしました。これらの重大な脆弱性のうち2件は、権限昇格やサービス拒否攻撃の危険性があります。