「Android」に2つの深刻な脆弱性--アップデートを間もなく配信予定

Jack Wallen (Special to ZDNET.com) 翻訳校正: 佐藤卓 吉武稔夫 (ガリレオ)

2024-11-06 09:33

 「Android Security Bulletin」(「Android」のセキュリティに関する公開情報)を定期的にチェックしている読者なら、2024年11月のセキュリティパッチレベルについて、次の2つの深刻な脆弱性に関する注意書きがあることに気づいたのではないだろうか。

  • 「CVE-2024-43047」
  • 「CVE-2024-43093」

 この注意書きによれば、「以下(この2つの脆弱性)は限定的かつ標的を絞った形で悪用されている兆候が見られる」という。

 1つ目のCVE-2024-43047は、「HLOSメモリーのメモリーマップのメンテナンス時にメモリー破損を発生させる」可能性があるという。影響を受けるのはQualcomm TechnologiesのDSP(デジタルシグナルプロセッサー)サービスで、同社の複数のチップセットがメモリー破損を起こし、影響を受けたデバイスで攻撃者が特権を昇格させてデバイスを侵害できるようになるという。

 Qualcommはこの脆弱性に対するパッチを10月に公開しているが、11月のAndroidのセキュリティアップデートに含まれたことで、さらに広範囲に配布され、修正が適用されるようになるだろう。

 2つ目のCVE-2024-43093は、特権の昇格を可能にする脆弱性だ。影響を受けるのは、Androidのフレームワークコンポーネントのバージョン12、13、14、および15で、Androidの大部分が攻撃にさらされる可能性がある。

 Googleは、次の2種類のパッチレベルのアップデートを公開する予定だ。

  • パッチレベル「2024-11-01」:Androidのコアコンポーネント(フレームワークとシステムを含む)が対象となる。
  • パッチレベル「2024-11-05」:Qualcommのチップセットに加え、MediaTekやImagination Technologiesのコンポーネントなどの問題に対処する。

 したがって、パッチレベル2024-11-05が適用されるまで、Androidデバイスはこれらの脆弱性から保護されていないことになる。

 筆者が自分の「Pixel 9 Pro」(OSは「Android 15」)をチェックしたところ、パッチレベルはまだ「2024-10-05」で、依然として脆弱なままだった。

ユーザーができる対策

 Googleがパッチレベル2024-11-01のアップデートをまだ公開していないため、ユーザーはシステムアップデートが利用可能になっているか確認し続けるしかない。Android 15の場合は、「設定」から「システム」に移動して「ソフトウェアアップデート」を選択し、現在のパッチレベルをチェックしよう。パッチレベルが最新でない場合は、「更新を確認」をタップする。アップデートが利用可能になっていたら、すぐに適用してほしい。

筆者の「Pixel 9 Pro」にはまだアップデートが届いていない。Screenshot by Jack Wallen/ZDNET
筆者の「Pixel 9 Pro」にはまだアップデートが届いていない。
Screenshot by Jack Wallen/ZDNET
提供:Jack Wallen/ZDNET
提供:Jack Wallen/ZDNET

この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]