Googleは12月4日(米国時間)、「Android Security Bulletin—December 2023 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2023年12月のセキュリティ情報を公開した。今回のアップデートには2023-12-01、2023-12-05の2つのセキュリティパッチレベルの情報が含まれており、合計94個の脆弱性の情報を公表している。これらの中で最も深刻なCVE-2023-40088は、追加の実行権限を必要とせずにリモートコードを実行される可能性があるという。

  • Android Security Bulletin—December 2023|Android Open Source Project

    Android Security Bulletin—December 2023 | Android Open Source Project

Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みか確認できる。

今回公開されたパッチレベル2023-12-01には33個の脆弱性が、パッチレベル2023-12-05には61個の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」に指定されている脆弱性は次のとおり。

  • CVE-2023-40088 - 解放後のメモリを使用する可能性がある
  • CVE-2023-40077 - 競合状態によってUAF書き込みの可能性がある
  • CVE-2023-40076 - パーミッションのバイパスにより、他のユーザが認証情報にアクセスする可能性がある
  • CVE-2023-45866 - 特権昇格の可能性。詳細は非公開
  • CVE-2022-40507 - HLOSアドレスをリストにマッピングする際、二重解放によりメモリが破壊される

使用しているAndroidデバイスをパッチレベル2023-12-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 11、12、12L、13、14で利用可能になっている。Android 10以前のデバイスはサポートが終了しているため、古いデバイスを利用しているユーザーはできるだけ速やかに新しいAndroidデバイスに乗り換えることが推奨される。