Malwarebytesは6月13日(米国時間)、「Update now! Google Pixel vulnerability is under active exploitation|Malwarebytes」において、Googleが悪用されている可能性があるPixelデバイスの脆弱性の情報を公開したと報じた。

Pixelデバイス向けのセキュリティ脆弱性の情報は、2024年6月のセキュリティ情報「Pixel Update Bulletin—June 2024 | Android Open Source Project」として公開されている。これらのうち、Googleは「CVE-2024-32896」として追跡される脆弱性が、限定的な標的型攻撃を受けている可能性があると指摘している。

  • Update now! Google Pixel vulnerability is under active exploitation|Malwarebytes

    Update now! Google Pixel vulnerability is under active exploitation|Malwarebytes

脆弱性「CVE-2024-32896」の概要

CVE-2024-32896は、Pixelファームウェアにおける権限昇格の脆弱性。ファームウェアの実装にロジックエラーがあり、このエラーを悪用することで攻撃者はユーザー操作を介して特権を取得できる可能性がある。

この脆弱性の深刻度はGoogleにより、高い(High)と評価されている。緊急(Critical)よりも低い深刻度ではあるものの、Googleはすでに悪用の可能性があるとしており注意が必要。

Pixel向けの2024年6月のセキュリティ情報

GoogleはAndroidデバイスとは別にPixelデバイス向けのセキュリティ情報を公開している。2024年6月のPixelデバイス向けのセキュリティ情報では、合計50件の脆弱性の情報が公表されている。

これら脆弱性のうち深刻度が緊急(Critical)と評価されているものは7件あり、いずれも権限昇格の脆弱性とされる。Pixelデバイスのユーザーはデバイスをパッチレベル2024-06-05以降にアップデートすることで、これら脆弱性の影響を回避することができる。今回悪用が指摘された脆弱性および緊急の脆弱性を修正するため、Pixelデバイスのユーザーには速やかなアップデートが推奨されている。