「Android Security Bulletin」(「Android」のセキュリティに関する公開情報)を定期的にチェックしている読者なら、2024年11月のセキュリティパッチレベルについて、次の2つの深刻な脆弱性に関する注意書きがあることに気づいたのではないだろうか。
- 「CVE-2024-43047」
- 「CVE-2024-43093」
この注意書きによれば、「以下(この2つの脆弱性)は限定的かつ標的を絞った形で悪用されている兆候が見られる」という。
1つ目のCVE-2024-43047は、「HLOSメモリーのメモリーマップのメンテナンス時にメモリー破損を発生させる」可能性があるという。影響を受けるのはQualcomm TechnologiesのDSP(デジタルシグナルプロセッサー)サービスで、同社の複数のチップセットがメモリー破損を起こし、影響を受けたデバイスで攻撃者が特権を昇格させてデバイスを侵害できるようになるという。
Qualcommはこの脆弱性に対するパッチを10月に公開しているが、11月のAndroidのセキュリティアップデートに含まれたことで、さらに広範囲に配布され、修正が適用されるようになるだろう。
2つ目のCVE-2024-43093は、特権の昇格を可能にする脆弱性だ。影響を受けるのは、Androidのフレームワークコンポーネントのバージョン12、13、14、および15で、Androidの大部分が攻撃にさらされる可能性がある。
Googleは、次の2種類のパッチレベルのアップデートを公開する予定だ。
- パッチレベル「2024-11-01」:Androidのコアコンポーネント(フレームワークとシステムを含む)が対象となる。
- パッチレベル「2024-11-05」:Qualcommのチップセットに加え、MediaTekやImagination Technologiesのコンポーネントなどの問題に対処する。
したがって、パッチレベル2024-11-05が適用されるまで、Androidデバイスはこれらの脆弱性から保護されていないことになる。
筆者が自分の「Pixel 9 Pro」(OSは「Android 15」)をチェックしたところ、パッチレベルはまだ「2024-10-05」で、依然として脆弱なままだった。
ユーザーができる対策
Googleがパッチレベル2024-11-01のアップデートをまだ公開していないため、ユーザーはシステムアップデートが利用可能になっているか確認し続けるしかない。Android 15の場合は、「設定」から「システム」に移動して「ソフトウェアアップデート」を選択し、現在のパッチレベルをチェックしよう。パッチレベルが最新でない場合は、「更新を確認」をタップする。アップデートが利用可能になっていたら、すぐに適用してほしい。
筆者の「Pixel 9 Pro」にはまだアップデートが届いていない。
Screenshot by Jack Wallen/ZDNET
提供:Jack Wallen/ZDNET
この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。