Googleは4月2日(米国時間)、「Pixel Update Bulletin—April 2024 | Android Open Source Project」において、Google Pixelデバイスに影響する脆弱性の情報をまとめた2024年4月のセキュリティ情報を公開した。今回のアップデートにはGoogle Pixelデバイス向けの合計25件の脆弱性の修正と、2024年4月のAndroidセキュリティ情報に記載の2024-04-05パッチレベルを含んでいる。
脆弱性の概要
今回公開されたアップデートには24件のGoogle Pixelの脆弱性と、1件のコンポーネントの脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性は次のとおり。
- CVE-2024-29740 - ACPMサブコンポーネントにおける特権昇格の脆弱性
また、次の脆弱性は特定の標的に向けて限定的に悪用された可能性があるため注意が必要。これら脆弱性を報告したGrapheneOSの関係者は、「フォレンジック企業がPixelやその他のAndroidデバイスについてAfter First Unlock状態で再起動して高速ブートモードにし、脆弱性を悪用してメモリーダンプを行っている」と述べ、調査や分析を目的としていはいるものの脆弱性を積極的に悪用していると報告している。
- CVE-2024-29745 - ブートローダーサブコンポーネントの情報漏洩の脆弱性
- CVE-2024-29748 - ピクセルファームウェアサブコンポーネントの特権昇格の脆弱性
対策
Google Pixelのアップデート後のバージョンは次のとおり。
- Pixel 5a (5G) - AP1A.240405.002
- Pixel 6 - AP1A.240405.002
- Pixel 6 Pro - AP1A.240405.002
- Pixel 6a - AP1A.240405.002
- Pixel 7 - AP1A.240405.002
- Pixel 7 Pro - AP1A.240405.002
- Pixel 7a - AP1A.240405.002
- Pixel Tablet - AP1A.240405.002
- Pixel Fold - AP1A.240405.002.A1
- Pixel 8 - AP1A.240405.002
- Pixel 8 Pro - AP1A.240405.002
このアップデートには上記の脆弱性の修正に加え、Google Pixel向けのバグの修正および改善として、画面ロック解除時に黒い画面を表示するバグの修正と、カメラの複数の修正が含まれている。今回のアップデートはGoogle Pixelのすべてのユーザーに推奨されており、サポート対象となっているデバイスの管理者には速やかなアップデートが望まれている。