Googleは6月5日(米国時間)、「Android Security Bulletin—June 2023」において、Androidデバイスに影響する脆弱性の情報をまとめた2023年6月のセキュリティ情報を公開した。今回のアップデートでは2023-06-01と2023-06-05の2つのセキュリティパッチレベルの情報が含まれており、合計56個の脆弱性の情報が公表されている。
-
Android Security Bulletin—June 2023 | Android Open Source Project
Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェストである。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みなのかを確認できる。
今回公開されたパッチレベル2023-06-01には23個の脆弱性が、パッチレベル2023-06-05には33個の脆弱性が含まれている。特にパッチレベル2023-06-05で重大度が「High(重要)」に指定されているCVE-2022-22706の脆弱性は、限定的な標的型攻撃を受けている可能性があると指摘されている。この脆弱性はArmのMali GPUカーネルドライバに存在する欠陥で、Midgard r26p0 ~ r31p0、Bifrost r0p0 ~ r35p0、Valhall r19p0 ~ r35p0のカーネルドライバに影響することが判明している。
その他、重大度が「Critical(致命的)」に指定されている主な脆弱性は次のとおり。
- CVE-2023-21127 : Android 11、12、13に影響。Androidフレームワークにおけるリモートコード実行(RCE: Remote Code Execution)の脆弱性
- CVE-2023-21108 : Android 11、12、13に影響。Androidシステムにおけるリモートコード実行の脆弱性
- CVE-2023-21130 : Android 13に影響。Androidシステムにおけるリモートコード実行の脆弱性
- CVE-2022-33257 : Qualcommのクローズドソースコンポーネントに影響。未定義のタイプの重大な欠陥
- CVE-2022-40529 : Qualcommのクローズドソースコンポーネントに影響。未定義のタイプの重大な欠陥
使用しているAndroidデバイスをパッチレベル2023-06-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 11、12、12L、および13で利用可能になっている。Android 10以前のデバイスはサポートが終了しているため、古いデバイスを利用しているユーザーはできるだけ速やかに新しいAndroidデバイスに乗り換えることが推奨される。
