「Android」、9月のセキュリティアップデートでゼロデイ脆弱性などを修正

今回は「「Android」、9月のセキュリティアップデートでゼロデイ脆弱性などを修正」についてご紹介します。

関連ワード （セキュリティ等） についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

　Googleは「Android」のセキュリティアップデートを毎月リリースしており、それらのアップデートには、深刻度が最高の問題に対するパッチが含まれる場合も多い。

　Googleは9月のセキュリティアップデートで、深刻度「High」のCVE-2023-35674が「限定的に標的を絞って悪用されている可能性がある」と発表した 。

　この問題はゼロデイ脆弱性だ。つまり、修正する能力のある人々にこれまで知られておらず、開発者が問題を緩和できるまで、脅威アクターが悪用できる。

　悪意あるアクターがこのゼロデイ脆弱性を利用すると、ユーザーの操作を必要とせずにEoP（Elevation of Privilege：権限昇格）が可能になる。

　9月のセキュリティアップデートについては、そのほかにも深刻度「Critical」の脆弱性が以下の通り3件ある（CVE識別番号、参考情報、種別、深刻度、対象となるAndroidのバージョンを記載）。

　RCE（リモートコード実行）の脆弱性は、攻撃者がデバイスに直接アクセスせずに悪意あるコードを実行できるため、特に懸念される。

　1点気をつけなければならないことは、「Pixel」以外のAndroidスマホにセキュリティパッチを適用できるのはPixelよりも少し先になるということだ。これは、同社がパッチをAndroidスマホメーカーに送り、各社がそのパッチをテストしたうえで、自社のハードウェア向けに調整する必要があるためだ。

　スマートフォン向けにアップデートの準備が整えば、Androidデバイスが通知してくれるため、指示されたときにデバイスを再起動するだけでいい。通知のポップアップが表示されたらすぐに再起動するのがいいだろう。