Googleから2022年5月のAndroid脆弱性情報およびアップデート情報が公開された(参考「Android Security Bulletin—May 2022 | Android Open Source Project」)。今回のセキュリティパッチで修正対象となっている脆弱性のうち、深刻度が「緊急(Critical)」と評価されているのはQualcommのクローズドソースコンポーネントのみ。しかし、深刻度は緊急ではないものの、標的型攻撃に悪用されていると分析されている脆弱性の修正が含まれている点に注意が必要。
今回のセキュリティパッチには、「CVE-2021-22600」として特定されている脆弱性の修正が含まれている。この脆弱性について、Googleは、「限定的な標的型攻撃を受けている可能性が指摘されている」と説明している。
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)は4月11日(米国時間)、「CVE-2021-22600」がアクティブにサイバー攻撃に悪用されているとして「Known Exploited Vulnerabilities Catalog | CISA」にデータを追加している。
Googleは「CVE-2021-22600」の深刻度を警告(Moderate)と分析しているが、NVDではCVSSv3.1のスコア7.8で重要(High)と分析されている。緊急という評価にはなっていないものの、すでに標的型攻撃に悪用されていることが確認されており注意が必要。ベンダーからアップデートが提供された場合は迅速にアップデートを適用することが望まれる。