Googleは11月4日(米国時間)、「Android Security Bulletin November 2024 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2024年11月のセキュリティ情報を公開した。

今回のアップデートには2024-11-01、2024-11-05の2つのセキュリティパッチレベルの情報が含まれており、合計40個の脆弱性の情報が公表された。対象の脆弱性のうち「CVE-2024-43047」および「CVE-2024-43093」として追跡される脆弱性は、限定的な標的型攻撃に悪用された可能性がある。

  • Android Security Bulletin November 2024  |  Android Open Source Project

    Android Security Bulletin November 2024 | Android Open Source Project

脆弱性の情報

Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みであるかを確認できる。

今回公開されたパッチレベル2024-11-01には17個の脆弱性が、パッチレベル2024-11-05には23個の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性は次のとおり。

  • CVE-2024-38408 :Qualcommのクローズドソースコンポーネントの脆弱性。コントローラが予期しない状況でLMP暗号開始コマンドを受信した場合に不具合が起きる

標的型攻撃に悪用された可能性があると指摘された脆弱性のうち、「CVE-2024-43047」は、Qualcommコンポーネントにおける解放後使用(UAF: use-after-free)の脆弱性。もう一方の「CVE-2024-43093」は、Androidフレームワークにおける権限昇格の脆弱性。いずれも深刻度は高い(High)と評価されている。

対策

使用しているAndroidデバイスをパッチレベル2024-11-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 12、12L、13、14、15で利用可能になっている。Android 11以前のデバイスはサポートが終了しているため、古いデバイスを利用しているユーザーはできるだけ速やかに新しいAndroidデバイスに乗り換えることが推奨される。