Googleは4月2日(米国時間)、「Pixel Update Bulletin—April 2024 | Android Open Source Project」において、Google Pixelデバイスに影響する脆弱性の情報をまとめた2024年4月のセキュリティ情報を公開した。今回のアップデートにはGoogle Pixelデバイス向けの合計25件の脆弱性の修正と、2024年4月のAndroidセキュリティ情報に記載の2024-04-05パッチレベルを含んでいる。

  • Pixel Update Bulletin—April 2024| Android Open Source Project

    Pixel Update Bulletin—April 2024 | Android Open Source Project

脆弱性の概要

今回公開されたアップデートには24件のGoogle Pixelの脆弱性と、1件のコンポーネントの脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性は次のとおり。

  • CVE-2024-29740 - ACPMサブコンポーネントにおける特権昇格の脆弱性

また、次の脆弱性は特定の標的に向けて限定的に悪用された可能性があるため注意が必要。これら脆弱性を報告したGrapheneOSの関係者は、「フォレンジック企業がPixelやその他のAndroidデバイスについてAfter First Unlock状態で再起動して高速ブートモードにし、脆弱性を悪用してメモリーダンプを行っている」と述べ、調査や分析を目的としていはいるものの脆弱性を積極的に悪用していると報告している。

  • CVE-2024-29745 - ブートローダーサブコンポーネントの情報漏洩の脆弱性
  • CVE-2024-29748 - ピクセルファームウェアサブコンポーネントの特権昇格の脆弱性
  • 2件の脆弱性とフォレンジック企業による悪用を報告する投稿 - 引用:X

    2件の脆弱性とフォレンジック企業による悪用を報告する投稿 引用:GrapheneOSの関係者のX

対策

Google Pixelのアップデート後のバージョンは次のとおり。

  • Pixel 5a (5G) - AP1A.240405.002
  • Pixel 6 - AP1A.240405.002
  • Pixel 6 Pro - AP1A.240405.002
  • Pixel 6a - AP1A.240405.002
  • Pixel 7 - AP1A.240405.002
  • Pixel 7 Pro - AP1A.240405.002
  • Pixel 7a - AP1A.240405.002
  • Pixel Tablet - AP1A.240405.002
  • Pixel Fold - AP1A.240405.002.A1
  • Pixel 8 - AP1A.240405.002
  • Pixel 8 Pro - AP1A.240405.002

このアップデートには上記の脆弱性の修正に加え、Google Pixel向けのバグの修正および改善として、画面ロック解除時に黒い画面を表示するバグの修正と、カメラの複数の修正が含まれている。今回のアップデートはGoogle Pixelのすべてのユーザーに推奨されており、サポート対象となっているデバイスの管理者には速やかなアップデートが望まれている。