Googleは6月5日(米国時間)、「Android Security Bulletin—June 2023」において、Androidデバイスに影響する脆弱性の情報をまとめた2023年6月のセキュリティ情報を公開した。今回のアップデートでは2023-06-01と2023-06-05の2つのセキュリティパッチレベルの情報が含まれており、合計56個の脆弱性の情報が公表されている。

  • Android Security Bulletin—June 2023  |  Android Open Source Project

    Android Security Bulletin—June 2023 | Android Open Source Project

Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェストである。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みなのかを確認できる。

今回公開されたパッチレベル2023-06-01には23個の脆弱性が、パッチレベル2023-06-05には33個の脆弱性が含まれている。特にパッチレベル2023-06-05で重大度が「High(重要)」に指定されているCVE-2022-22706の脆弱性は、限定的な標的型攻撃を受けている可能性があると指摘されている。この脆弱性はArmのMali GPUカーネルドライバに存在する欠陥で、Midgard r26p0 ~ r31p0、Bifrost r0p0 ~ r35p0、Valhall r19p0 ~ r35p0のカーネルドライバに影響することが判明している。

その他、重大度が「Critical(致命的)」に指定されている主な脆弱性は次のとおり。

  • CVE-2023-21127 : Android 11、12、13に影響。Androidフレームワークにおけるリモートコード実行(RCE: Remote Code Execution)の脆弱性
  • CVE-2023-21108 : Android 11、12、13に影響。Androidシステムにおけるリモートコード実行の脆弱性
  • CVE-2023-21130 : Android 13に影響。Androidシステムにおけるリモートコード実行の脆弱性
  • CVE-2022-33257 : Qualcommのクローズドソースコンポーネントに影響。未定義のタイプの重大な欠陥
  • CVE-2022-40529 : Qualcommのクローズドソースコンポーネントに影響。未定義のタイプの重大な欠陥

使用しているAndroidデバイスをパッチレベル2023-06-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 11、12、12L、および13で利用可能になっている。Android 10以前のデバイスはサポートが終了しているため、古いデバイスを利用しているユーザーはできるだけ速やかに新しいAndroidデバイスに乗り換えることが推奨される。