Googleは7月5日(米国時間)、「Android Security Bulletin—July 2023」において、Androidデバイスに影響する脆弱性の情報をまとめた2023年7月のセキュリティ情報を公開した。今回のアップデートでは2023-07-01と2023-07-05の2つのセキュリティパッチレベルの情報が含まれており、合計46個の脆弱性の情報が公表されている。

  • Android Security Bulletin—July 2023|Android Open Source Project

    Android Security Bulletin—July 2023|Android Open Source Project

Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みかどうかを確認できる。

今回公開されたパッチレベル2023-07-01には26個の脆弱性が、パッチレベル2023-07-05には20個の脆弱性が含まれている。それらのうち、3つの脆弱性が限定的な標的型攻撃を受けている可能性があると指摘されている。

  • CVE-2023-26083 : Midgard、Bifrost、Valhall、Avalonチップ用のArm Mali GPUドライバにおけるメモリリークの脆弱性。特権のないユーザーが有効なGPU処理操作を行うことで、機密性の高いカーネルメタデータが公開されてしまう
  • CVE-2021-29256 : Midgard、Bifrost、Valhallチップ用のArm Mali GPUドライバの特定のバージョンに影響する脆弱性。情報漏洩またはroot権限の昇格を引き起こす可能性がある
  • CVE-2023-2136 : Googleのオープンソースマルチプラットフォーム2DグラフィックスライブラリであるSkiaの整数オーバーフローバグ。Google Chrome パージョン112.0.5615.137より前のバージョンで使われている

使用しているAndroidデバイスをパッチレベル2023-07-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 11、12、12L、13で利用可能になっている。Android 10以前のデバイスはサポートが終了しているため、古いデバイスを利用しているユーザーはできるだけ速やかに新しいAndroidデバイスに乗り換えることが推奨される。