Googleは1月3日(米国時間)、「Android Security Bulletin—January 2023」において、Androidデバイスに影響する脆弱性の情報をまとめた2023年で最初のセキュリティ情報を公開した。今回のアップデートでは2023-01-01と2023-01-05の2つのセキュリティパッチレベルの情報が含まれており、合わせて60個の脆弱性の情報が公表されている。
Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェストである。使用しているAndroidデバイスに適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みなのかを確認することができる。
今回公開されたパッチレベル2023-01-01には20個の脆弱性が、パッチレベル2023-01-05には40個の脆弱性が含まれている。特に注意を要するのは、パッチレベル2023-01-01で重大度が「Critical(致命的)」が指定されているカーネル内の次の3つの脆弱性である。
- CVE-2022-42719: 5.19.16より前のLinuxカーネル5.2から5.19.xに影響を与える、mac80211スタックのBSSID要素の解析における解放後のメモリ使用
- CVE-2022-42720 : 5.19.16より前のLinux カーネル5.1から5.19.xに影響を与える、mac80211スタックのBSSID要素の解析におけるさまざまなrefcountingバグ
- CVE-2022-42721 : Linux カーネル5.1から5.19.16より前の5.19.xに影響を与える、mac80211スタックのBSS処理のリスト管理に関するバグ
上記に加えてパッチレベル2023-01-01では、カーネルコンポーネントに含まれるCVE-2022-41674も重大度が「Critical(致命的)」として指定されている。これは、5.19.16より前のLinuxカーネルに影響を与える無線LANフレームに関連する脆弱性である。
2023-01-05には、Qualcomm製のチップセットに報告された複数の重大な脆弱性が含まれている。これらのチップセットの脆弱性に関する情報はQualcommの次のセキュリティアドバイザリで公開されている。
使用しているAndroidデバイスをパッチレベル2023-01-05以降にアップデートすれば、上記の脆弱性の影響を回避することができる。アップデートはAndroid 10、11、12、12L、および13で利用可能になっている。