Malwarebytesは10月6日(米国時間)、「Android vulnerabilities could allow arbitrary code execution」においてAndroidに存在していた複数の脆弱性が修正されたと伝えた。Googleが実施したAndroidの最新のセキュリティアップデートでは42件の脆弱性のパッチが適用されている。4件の脆弱性が緊急(Critical)と分類されており、そのうち3件がQualcommのコンポーネントに影響を及ぼすものとされている。
今回修正されたQualcomm重大な脆弱性は、すべてWLANコンポーネントに関連している。共通脆弱性評価システム(CVSS: Common Vulnerability Scoring System)の深刻度がCritical(緊急)と位置づけられているQualcommコンポーネントの脆弱性は次のとおり。
- CVE-2022-25748 - CVSSスコア値は9.8。悪用されるとメモリ破壊を引き起こし、任意のコードを実行される危険性がある
- CVE-2022-25718 - CVSSスコア値は9.1。リモートの攻撃者に中間者攻撃(MitM: Man-in-the-Middle )を実行される危険性がある
- CVE-2022-25720 - CVSSスコア値は9.8。リモートの攻撃者がAndroidデバイスに特別に細工したトラフィックを送信することで、任意のコードを実行される危険性がある
もう一つの重要な脆弱性はCVE-2022-20419として追跡されており、追加の実行権限を必要としないローカルな特権昇格(EoP: Escalation of Privilege)につながる可能性のあるフレームワークの脆弱性とされている。
今回のGoogleのセキュリティアップデートは、Android 10、11、12、12L、13を対象に実施される予定となっている。ただし、脆弱性の一部はサプライヤーのソフトウェアに存在するため、すべてのデバイスにすべてのパッチが適用されるわけではないとされている。Androidを搭載したスマートフォンやタブレットデバイスなどを使用している場合、デバイスのセキュリティパッチレベルを確認するとともに、問題が修正された最新版へアップデートすることが望まれる。