Googleは1月6日(米国時間)、「Android Security Bulletin January 2025 | Android Open Source Project」において、Androidデバイスに影響する脆弱性の情報をまとめた2025年1月のセキュリティ情報を公開した。

今回のアップデートには2025-01-01、2025-01-05の2つのセキュリティパッチレベルの情報が含まれており、6件の緊急の脆弱性を含む合計36件の脆弱性の情報が公表されている。

  • Android Security Bulletin January 2025 | Android Open Source Project

    Android Security Bulletin January 2025 | Android Open Source Project

脆弱性の情報

Androidのセキュリティパッチレベルは、Android OSの脆弱性や悪意のあるコードによる攻撃に対処するためにGoogleが提供するセキュリティパッチのマニフェスト。使用しているAndroidデバイス(スマートフォンやタブレット)に適用されたパッチレベルを調べれば、そのデバイスがどの脆弱性に対処済みか確認できる。

今回公開されたパッチレベル2025-01-01には24件の脆弱性が、パッチレベル2025-01-05には12件の脆弱性が含まれている。これらのうち深刻度が「緊急(Critical)」と評価されている脆弱性(CVE)は次のとおり。

  • CVE-2024-43096、CVE-2024-43770、CVE-2024-43771、CVE-2024-49747、CVE-2024-49748 - システムコンポーネントに脆弱性。リモートコード実行(RCE: Remote Code Execution)の可能性がある
  • CVE-2024-20154 - モデムに境界外書き込みの脆弱性。攻撃者が制御している不正な基地局に接続した場合、リモートコード実行(RCE)の可能性がある(CVSSスコア: 8.1)

対策

使用しているAndroidデバイスをパッチレベル2025-01-05以降にアップデートすれば、上記の脆弱性の影響を回避できる。アップデートはAndroid 12、12L、13、14、15で利用可能になっている。Android 11以前のデバイスはサポートを終了しているため、古いデバイスのユーザーにはできるだけ速やかに、新しいAndroidデバイスに乗り換えることが推奨される。