Googleは10月2日(米国時間)、「Android Security Bulletin—October 2023 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2023年10月のセキュリティ情報を公開した。
今回のアップデートでは2023-10-01、2023-10-05、2023-10-06の3つのセキュリティパッチレベルの情報が含まれており、合計51個の脆弱性の情報が公表されている。これらのうち、CVE-2023-4863とCVE-2023-4211は一部の限られたユーザーを標的としたサイバー攻撃に悪用されている可能性があるという。
Androidのセキュリティパッチレベルとは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べると、そのデバイスがどの脆弱性に対処済みか確認できる。
今回公開されたパッチレベル2023-10-01には24個の脆弱性が、パッチレベル2023-10-05には26個の脆弱性が、パッチレベル2023-10-06には1つの脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」に指定されている脆弱性は次のとおり(本稿執筆時点で、CVE-2023-40129の詳細情報の開示は行われていない。ここではソースコードの修正ログから簡単な説明をする)。
- CVE-2023-40129 : 整数値のアンダーフローにより境界を超えたアクセスを行う可能性がある
- CVE-2023-24855 : AS Security Exchangeの前のセキュリティ関連の設定を処理する際にモデムでメモリが破損する
- CVE-2023-28540 : TLSハンドシェイク中の不適切な認証によるデータモデムの暗号化の問題
- CVE-2023-33028 : pmkキャッシュのメモリコピー中にWLANファームウェアのメモリが破損する
- CVE-2023-4863 : 特別に細工されたWebP画像を読み込むとヒープメモリの境界外にデータを書き込む可能性がある
使用しているAndroidデバイスをパッチレベル2023-10-06以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 11、12、12L、13で利用可能になっている。Android 10以前のデバイスはサポートが終了しているため、古いデバイスを利用している場合、できるだけ速やかに新しいAndroidデバイスに乗り換えることが推奨される。