Googleは9月3日(米国時間)、「Android Security Bulletin—September 2024 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2024年9月のセキュリティ情報を公開した。今回のアップデートには2024-09-01、2024-09-05の2つのセキュリティパッチレベルの情報が含まれており、合計35個の脆弱性の情報が公表されている。これら脆弱性のうち「CVE-2024-32896」として追跡される脆弱性は、標的型攻撃に悪用された可能性がある。
脆弱性の情報
Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みかどうか確認できる。
今回公開されたパッチレベル2024-09-01には10個の脆弱性が、パッチレベル2024-09-05には25個の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性は次のとおり。
- CVE-2024-33042 - メモリ破壊の脆弱性。代替周波数オフセット値を255に設定するとメモリが破壊される
- CVE-2024-33052 - メモリ破壊の脆弱性。FM HCIコマンド制御操作にデータを提供するとメモリが破壊される
対策
標的型攻撃に悪用された可能性があると指摘された脆弱性「CVE-2024-32896」は、2024年6月にPixelデバイス向けアップデートで修正されたロジックエラーの脆弱性。ローカルの攻撃者はユーザー操作を介して特権を昇格できる可能性がある(参考:「Pixel Update Bulletin—June 2024 | Android Open Source Project」)。
使用しているAndroidデバイスをパッチレベル2024-09-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 12、12L、13、14で利用可能になっている。Android 11以前のデバイスはサポートが終了しているため、古いデバイスを利用しているユーザーはできるだけ速やかに新しいAndroidデバイスに乗り換えることが推奨される。