The Hacker Newsは3月22日(米国時間)、「WARNING: A New Android Zero-Day Vulnerability Is Under Active Attack」において、Qualcommのチップセットを搭載したAndroid端末に対し、新しいゼロデイ脆弱性を利用した攻撃が活発化していると伝えta 。対象の脆弱性はCVE-2020-11261で、悪用されるとメモリの破損につながる危険性もあるという。

CVE-2020-11261に関する詳細は、Qualcommが提供している次のセキュリティ情報に掲載されている。

  • January 2021 Security Bulletin における CVE-2020-11261 の項目

    January 2021 Security Bulletin における CVE-2020-11261 の項目

この脆弱性はQualcommのグラフィックコンポーネントの不適切な入力検証に起因したもので、アプリケーションが巨大なサイズのメモリ割り当てを要求した場合にメモリの破損が引き起こされる危険性があるという。2020年7月にGoogleのセキュリティチームによってQualcommに報告され、2021年1月5日にリリースされたセキュリティパッチですでに修正されている。しかしGoogleによると、依然としてこの脆弱性が標的型攻撃に悪用されている可能性が高いという。

この脆弱性を悪用するには、端末に対するローカルアクセスが必要となる。つまり、攻撃者は対象の端末に物理的にアクセスするか、水飲み場型攻撃などによってあらかじめマルウェアなどを仕込んでおく必要がある。

The Hacker Newsは、端末が悪用されるのを防ぐために、毎月のセキュリティアップデートが利用になったら、できるだけ迅速に適用することを推奨している。