Googleは4月3日(米国時間)、「Android Security Bulletin—April 2023 | Android Open Source Project」においてAndroidデバイスに影響する脆弱性の情報をまとめた2023年4月のセキュリティ情報を公開した。今回のアップデートでは2023-04-01と2023-04-05の2つのセキュリティパッチレベルの情報が含まれており、合わせて68個の脆弱性の情報が公表されている。

  • Android Security Bulletin—April 2023 | Android Open Source Project

    Android Security Bulletin—April 2023 | Android Open Source Project

今回公開されたパッチレベル2023-04-01には28個の脆弱性が、パッチレベル2023-04-05には40個の脆弱性が含まれている。特に注意を要するのは、パッチレベル2023-04-01で重大度が「Critical(致命的)」が指定されているシステム内の次の2つの脆弱性である。

  • CVE-2023-21085 - リモートの攻撃者に任意のコードが実行されてしまう可能性があるSystemコンポーネントの脆弱性。Systemコンポーネント内の入力検証が不適切なため存在し、特別に細工されたファイルを開かせることで任意のコードが実行されてしまう
  • CVE-2023-21096 - リモートの攻撃者に任意のコードが実行されてしまう可能性があるSystemコンポーネント内にあるもう一つの脆弱性。こちらもSystemコンポーネント内の入力検証が不適切なためで、追加の実行権限を必要とせずに攻撃者に任意のコードが実行されてしまう可能性がある

2023-04-05には、Qualcomm製のチップセットに報告された複数の重大な脆弱性が含まれている。これらのチップセットの脆弱性に関する情報はQualcommの次のセキュリティアドバイザリで公開されている。

使用しているAndroidデバイスをパッチレベル2023-04-05以降にアップデートすれば、上記の脆弱性の影響を回避することができる。アップデートはAndroid 11、12、12L、および13で利用可能になっている。