Google、Androidで悪用されている3つの脆弱性に対するパッチをリリース

Hacker Newsによると、Googleが修正したAndroidの脆弱性のうち3つが標的型攻撃に悪用されている。そのうちの1つ（コードCVE-2023-26083）は、Bifrost、Avalon、Valhallチップ用のArm Mali GPUドライバーに影響を与えるメモリリークである。

この脆弱性は、2022年12月にサムスン製デバイスにスパイウェアをインストールする攻撃で悪用されました。これは深刻であると考えられ、2023年4月にサイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA - 米国）が連邦政府機関にパッチ命令を発行しました。

もう一つの重大な脆弱性であるCVE-2021-29256は、BifrostおよびMidgard Arm Mali GPUカーネルドライバの特定のバージョンに影響を与える、深刻度の高い脆弱性です。このバグにより、権限のないユーザーが機密データへの不正アクセスを取得し、権限を最高レベルに昇格することが可能になります。

3番目に悪用された脆弱性はCVE-2023-2136で、Googleのクロスプラットフォームオープンソース2DグラフィックライブラリであるSkiaに存在する深刻度の高い脆弱性です。これは当初、Chromeブラウザのゼロデイ脆弱性として特定され、リモート攻撃者がサンドボックスを回避し、Androidデバイスにリモートコードを展開することを可能にしていました。

Google の 7 月の Android セキュリティ パッチでは、ユーザーの操作や追加の権限なしにリモート コード実行を可能にする Android システム コンポーネントに影響する重大な脆弱性 CVE-2023-21250 も修正されています。

これらのセキュリティアップデートは2段階に分けて展開されます。7月1日にリリースされた最初のパッチは、Androidのコアコンポーネントに焦点を当て、フレームワークとシステムコンポーネントの22件のセキュリティ上の欠陥を修正しています。7月5日にリリースされた2番目のパッチは、カーネルとクローズドソースコンポーネントを対象とし、カーネルコンポーネント、Armチップ、そしてMediaTekとQualcommプロセッサの画像技術における20件の脆弱性を修正しています。

ただし、脆弱性の影響はサポートされている Android バージョン (11、12、13) を超えて広がる可能性があり、公式サポートを受けられなくなった古いバージョンのオペレーティング システムにも影響を及ぼす可能性があります。

Googleは、Pixelデバイスのコンポーネントに存在する14件の脆弱性を修正するセキュリティパッチもリリースしました。これらの重大な脆弱性のうち2件は、権限昇格攻撃やサービス拒否攻撃の危険性があります。