Malwarebytesは12月7日(米国時間)、「Android phones can be taken over remotely - update when you can|Malwarebytes」において、先日Googleから公開されたAndroidのアップデートにおいて、深刻度が緊急(Critical)とされた脆弱性のうち、2件の詳細情報を伝えた(参考:「Androidに緊急の脆弱性、アップデートを | TECH+(テックプラス)」)。

  • Android phones can be taken over remotely - update when you can|Malwarebytes

    Android phones can be taken over remotely - update when you can|Malwarebytes

先日Googleから公開されたAndroidのアップデートには、94件の脆弱性に対するパッチが含まれている。このうち5件が緊急(Critical)とされており、そのうち1件は追加の実行権限を必要とせずにリモートからコードを実行される可能性がある。Malwarebytesはこの脆弱性(CVE-2023-40088)の詳細に加え、問題が大きいと思われる脆弱性(CVE-2023-40077)について詳細を伝えている。

2つの脆弱性の概要は以下の通り。

CVE-2023-40088

Bluetoothの通信機能における脆弱性。このため、この影響はBluetoothの通信圏内に限られ、デバイスからおおよそ10メートル以内とされる。実行権限を必要とせずにリモートからコードを実行される可能性があるが、実際の影響は近距離(約10メートル以内)に限られる。

CVE-2023-40077

Androidフレームワークにおける特権昇格の脆弱性。不具合を悪用すると競合状態(プログラムがリソースを奪い合う状態)が発生する可能性がある。この結果、開発者が意図した通りにプログラムが動作せず、設計とは異なる動作により特権が与えられ、本来実行できないはずの処理が実行される可能性がある。

Androidデバイスを使用しているユーザーは、パッチレベル2023-12-05以降にアップデートすることで上記の脆弱性の影響を回避することができる。アップデートはAndroid 11、12、12L、13、14で利用可能になっており、ベンダの提供する情報を確認して必要に応じてアップデートすることが望まれている。