Googleは「Android」のセキュリティアップデートを毎月リリースしており、それらのアップデートには、深刻度が最高の問題に対するパッチが含まれる場合も多い。
提供:Dean Mitchell/Getty Images
Googleは9月のセキュリティアップデートで、深刻度「High」のCVE-2023-35674が「限定的に標的を絞って悪用されている可能性がある」と発表した 。
この問題はゼロデイ脆弱性だ。つまり、修正する能力のある人々にこれまで知られておらず、開発者が問題を緩和できるまで、脅威アクターが悪用できる。
悪意あるアクターがこのゼロデイ脆弱性を利用すると、ユーザーの操作を必要とせずにEoP(Elevation of Privilege:権限昇格)が可能になる。
9月のセキュリティアップデートについては、そのほかにも深刻度「Critical」の脆弱性が以下の通り3件ある(CVE識別番号、参考情報、種別、深刻度、対象となるAndroidのバージョンを記載)。
- CVE-2023-35658 A-274617156 RCE Critical 11, 12, 12L, 13
- CVE-2023-35673 A-273966636 RCE Critical 11, 12, 12L, 13
- CVE-2023-35681 A-271335899 RCE Critical 13
RCE(リモートコード実行)の脆弱性は、攻撃者がデバイスに直接アクセスせずに悪意あるコードを実行できるため、特に懸念される。
1点気をつけなければならないことは、「Pixel」以外のAndroidスマホにセキュリティパッチを適用できるのはPixelよりも少し先になるということだ。これは、同社がパッチをAndroidスマホメーカーに送り、各社がそのパッチをテストしたうえで、自社のハードウェア向けに調整する必要があるためだ。
スマートフォン向けにアップデートの準備が整えば、Androidデバイスが通知してくれるため、指示されたときにデバイスを再起動するだけでいい。通知のポップアップが表示されたらすぐに再起動するのがいいだろう。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
