Googleは今週、Androidの月例セキュリティアップデートの9月版をリリースしましたが、少なくとも1つの既知の脆弱性が未修正のまま残されています。また、ご存知ない方のためにお知らせしますが、このウェブ界の巨人は数日前からAndroid 10のリリースを開始しています。
2019年9月のセキュリティ修正は、Googleブランドのデバイスには自動的に配信されますが、その他のAndroidデバイスをお持ちの方は、デバイスメーカーまたは携帯電話会社から修正が提供されます。一部の脆弱性は、Google Play開発者サービスを通じて、ハードウェアメーカーに関わらず、Googleがリモートで修正できます。まとめると、システムソフトウェアのアップデートを確認することが重要です。
いつものように、パッチは2つの部分に分かれています。1つはサポート対象デバイス全体のセキュリティホールを修正するパッチの宝庫で、もう1つはハードウェア固有の修正が詰め込まれたものです。前半の最も深刻なバグの中には、3つのリモートコード実行脆弱性があります。Android 7.1.1からAndroid 10までのすべてのバージョンは、これら3つの脆弱性のうち少なくとも1つに脆弱です。GoogleはAndroid 7以降のみをサポートしているため、古いバージョンをお使いの場合は、パッチがリリースされる見込みもなく、脆弱な状態にある可能性があります(ソースコードから自分で修正する場合を除きます)。
プラットフォームに依存しない脆弱性のうち2つ(CVE-2019-2176とCVE-2019-2108)はAndroidのメディアフレームワークコンポーネントに存在し、攻撃者が特別に細工したメディアファイルを標的に送るだけでコード実行が可能になるため、「重大」と評価されています。3つ目のコード実行の脆弱性(CVE-2019-2177)はAndroidシステムソフトウェアの特定されていない部分に存在し、Googleによると「特別に細工された送信」によって悪用されます。
サンフランシスコの路地に、コンパクトで素敵な段ボール箱のような家を買いたい?この250万ドルのAndroid懸賞で、もうすぐそこに到達できます
続きを読む
修正された残りの10件のCVEリストに記載されているハードウェア非依存のバグのうち、6件は権限昇格の脆弱性に対処し、残りの4件は情報漏洩の脆弱性に対処しています。これらの権限昇格の脆弱性は、ガジェットにインストールされた悪意のあるアプリによって悪用され、デバイスを完全に制御される可能性があります。これらのバグと同様に、Androidにはプログラミング上の欠陥を悪用するのを阻止するための様々な防御メカニズムが備わっていますが、熟練したハッカーによって回避される可能性があります。
ハードウェア固有のセキュリティ修正については、合計36件のバグが修正されました。そのほとんど、正確には31件は、Qualcommのオープンソースおよびクローズドソースのカーネルレベルコードに存在する欠陥に対するものでした。
Google は Qualcomm のバグについて詳細を明らかにしていないが、2 つの脆弱性 (CVE-2019-2258 と CVE-2019-10533) は「重大」に分類されており、これは通常、リモート コード実行の脆弱性に与えられる指定である。
その他の修正では、カーネルの 2 つの権限昇格の脆弱性 (CVE-2018-20669 および CVE-2019-2181) と、Nvidia ドライバ コードの権限昇格 (CVE-2018-6240) および情報漏洩 (CVE-2017-5715) の脆弱性がカバーされます。
今月は修正されませんでしたが、Androidにおける比較的軽微な権限昇格の脆弱性が3月にトレンドマイクロZDIチームのランス・ジャン氏とムーニー・リー氏によって発見され、Googleに報告されました。悪意のあるアプリケーションはこの脆弱性を悪用してデバイスを完全に乗っ取る可能性があります。
「この脆弱性はv4l2ドライバに存在します。この問題は、オブジェクトに対する操作を実行する前に、そのオブジェクトの存在を検証していないことに起因しています」とTeam ZDIは述べています。「攻撃者はこれを悪用し、カーネル内で権限を昇格させる可能性があります。」
二人は、数ヶ月前にGoogleにダブルフリー権限昇格について報告していたにもかかわらず、チョコレートファクトリーはいつこのバグに対する何らかの修正を公開できるかについてまだ何も言及していないと主張した。Googleはこの件に関するコメント要請に応じなかった。®
