「Android」に2つの深刻な脆弱性–アップデートを間もなく配信予定
今回は「「Android」に2つの深刻な脆弱性–アップデートを間もなく配信予定」についてご紹介します。
関連ワード (セキュリティ等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
「Android Security Bulletin」(「Android」のセキュリティに関する公開情報)を定期的にチェックしている読者なら、2024年11月のセキュリティパッチレベルについて、次の2つの深刻な脆弱性に関する注意書きがあることに気づいたのではないだろうか。
この注意書きによれば、「以下(この2つの脆弱性)は限定的かつ標的を絞った形で悪用されている兆候が見られる」という。
1つ目のCVE-2024-43047は、「HLOSメモリーのメモリーマップのメンテナンス時にメモリー破損を発生させる」可能性があるという。影響を受けるのはQualcomm TechnologiesのDSP(デジタルシグナルプロセッサー)サービスで、同社の複数のチップセットがメモリー破損を起こし、影響を受けたデバイスで攻撃者が特権を昇格させてデバイスを侵害できるようになるという。
Qualcommはこの脆弱性に対するパッチを10月に公開しているが、11月のAndroidのセキュリティアップデートに含まれたことで、さらに広範囲に配布され、修正が適用されるようになるだろう。
2つ目のCVE-2024-43093は、特権の昇格を可能にする脆弱性だ。影響を受けるのは、Androidのフレームワークコンポーネントのバージョン12、13、14、および15で、Androidの大部分が攻撃にさらされる可能性がある。
Googleは、次の2種類のパッチレベルのアップデートを公開する予定だ。
したがって、パッチレベル2024-11-05が適用されるまで、Androidデバイスはこれらの脆弱性から保護されていないことになる。
筆者が自分の「Pixel 9 Pro」(OSは「Android 15」)をチェックしたところ、パッチレベルはまだ「2024-10-05」で、依然として脆弱なままだった。
Googleがパッチレベル2024-11-01のアップデートをまだ公開していないため、ユーザーはシステムアップデートが利用可能になっているか確認し続けるしかない。Android 15の場合は、「設定」から「システム」に移動して「ソフトウェアアップデート」を選択し、現在のパッチレベルをチェックしよう。パッチレベルが最新でない場合は、「更新を確認」をタップする。アップデートが利用可能になっていたら、すぐに適用してほしい。