Googleは9月5日(米国時間)、「Android Security Bulletin—September 2023 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2023年9月のセキュリティ情報を公開した。今回のアップデートには、2023-09-01と2023-09-05の2つのセキュリティパッチレベルの情報が含まれており、合計32個の脆弱性の情報が公表されている。

  • Android Security Bulletin—September 2023 | Android Open Source Project

    Android Security Bulletin—September 2023 | Android Open Source Project

Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みか確認できる。

今回公開されたパッチレベル2023-09-01には20個の脆弱性が、パッチレベル2023-09-05には12個の脆弱性が含まれている。これらのうち最も深刻な脆弱性は、Systemコンポーネントにおける「Critical(致命的)」な脆弱性で、追加の実行権限を必要とせずにリモートでのコード実行につながる可能性が指摘されている。

重大度が「Critical(致命的)」に指定されている脆弱性は次のとおり(現時点ではCVE-2023-35658、CVE-2023-35673およびCVE-2023-35681の詳細情報の開示は行われていない。ここではソースコードの修正ログから簡単な説明をする)。

  • CVE-2023-35658 : 解放されたメモリ領域へのアクセス
  • CVE-2023-35673 : 符号なし16bit整数型の桁あふれの可能性
  • CVE-2023-35681 : EATTのMTU値をリモートから制御可能。桁あふれやアウトオブバンドの可能性
  • CVE-2023-28581 : GTK KDEで受信したGTKキーの解析時にWLANファームウェアでメモリ破壊が発生する

使用しているAndroidデバイスをパッチレベル2023-09-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 11、12、12L、13で利用可能になっている。Android 10以前のデバイスはサポートが終了しているため、古いデバイスを利用しているユーザーはできるだけ速やかに新しいAndroidデバイスに乗り換えることが推奨される。