Malwarebytesは12月7日(米国時間)、「Update now! Google patches Android vulnerability that allows remote code execution over Bluetooth」において、Androidのセキュリティに関する公開情報について伝えた。2022年12月のAndroidセキュリティ情報で最も深刻なのはSystemコンポーネントに存在する重大な脆弱性であり、追加の実行権限なしにBluetooth経由でリモートコードが実行されてしまう危険性があり、注意が必要だという。
パッチが適用された問題の総数は81件で、そのうち4件が緊急(Critical)と分類された脆弱性となっている。緊急(Critical)に分類された4件の脆弱性は次のとおり。
- CVE-2022-20472 - Frameworkコンポーネントに存在するリモートコード実行(RCE: Remote Code Execution)の重要な脆弱性
- CVE-2022-20473 - Frameworkコンポーネントに存在する別の重大なリモートコード実行の脆弱性
- CVE-2022-20498 - Systemコンポーネントにクリティカルな情報漏洩の脆弱性
- CVE-2022-20411 - Systemコンポーネントに致命的なリモートコード実行の脆弱性。追加の実行権限を必要とせずにBluetoothを介してリモートでコード実行を行うことが可能
今回のGoogleのセキュリティアップデートはAndroid 10、11、12、12L、13を対象に実施されている。ただし、脆弱性の一部はサプライヤーのソフトウェアに存在するため、すべてのデバイスにすべてのパッチが適用されるわけではないと説明されている。Androidを搭載したスマートフォンやタブレットデバイスなどを使用している場合、デバイスのセキュリティパッチレベルを確認するとともに、問題が修正された最新版へアップデートすることが望まれる。