Google は最新の Android セキュリティ修正プログラムを毎月リリースし、CVE リストに記載されている脆弱性を合計 70 件修正しました。
3 月のアップデートには、重大なリモート コード実行ホールとされる欠陥に対する 17 件のパッチが含まれていますが、他の 16 件はクローズド ソースの Qualcomm コンポーネントに存在するため、実際に文書化されているのは 1 件だけです。
文書化された脆弱性(CVE-2020-0032)は、オープンソースのAndroidメディアフレームワークに存在するもので、Googleが不穏なほど曖昧な、罠を仕掛けられたファイルを開くことで悪用される可能性があります。このバグを修正するには、Google Playで使用されるコーデックの更新も必要になります。
しかし、今月最も深刻な問題は、MediaTekチップセットを使用している多数のユーザーに影響を与え、既に悪用されているにもかかわらず、重大なリスクとは見なされていませんでした。CVE-2020-0069の権限昇格脆弱性は、インストールされた不正アプリによってデバイスのファームウェアにルートキットが注入される可能性があります。対象となるデバイスは、Amazon Fireタブレット、Motorola、Sony、Xiaomiなどの製品です。
Androidユーザーの皆様、特にこの厄介なBluetoothハイジャックの脆弱性については、最新のセキュリティパッチを入手することをお勧めします。
続きを読む
このルートキットはAndroidカーネルのセキュリティ保護の下で動作し、ユーザーに気づかれることなくユーザーをスパイしたり、アプリケーションに干渉したりする可能性があります。この脆弱性を発見したXDA開発者フォーラムのメンバーによると、この脆弱性はGoogleによって修正される数ヶ月前から悪用されていたとのことです。
Googleは、Qualcommの様々なコンポーネントに存在する40件の脆弱性については言及しなかった。これらの脆弱性は、コードがクローズドソースであるため、通常はパッチ適用時に詳細な説明が一切行われない。そのうち16件は「重大」と評価された。これは、リモートコード実行の脆弱性にほぼ必ず与えられる評価である。
今月の残りの修正は、権限昇格および情報漏洩に関する様々な脆弱性に対するものです。これらの脆弱性のうち、Androidフレームワークに1件、メディアフレームワークに2件、Androidシステムソフトウェアに6件が見つかりました。また、Androidカーネルにも権限昇格に関する脆弱性が4件見つかり、修正されました。
Googleブランドのデバイスをご利用の方は、今すぐアップデートをダウンロードしてインストールできます。それ以外のAndroidユーザーは、デバイスベンダーまたは通信事業者によるテストと修正のリリースに頼る必要があります。このプロセスには数日、数ヶ月、あるいは全くリリースされない可能性もあります。
一方、企業のガジェットを管理する IT 管理者は、理想的には、Microsoft、Intel、Adobe、SAP が月例セキュリティ更新プログラムをリリースする予定の次の火曜日までに、修正プログラムをテストして展開したいと考えるでしょう。®
