Google は、モバイル OS の 3 つのリモートコード実行の脆弱性に対する修正を含む、月例 Android セキュリティ アップデートの 4 月版をリリースしました。
今月のバッチ(少なくとも Google ブランドのデバイス向けにはリリース済み。他の Android デバイスの製造元とキャリアは独自にアップデートをリリースしています)には、すべてのユーザーが適用すべき 11 件の CVE リストの脆弱性に対する修正のバッチと、デバイスのハードウェアと OS に応じて適用すべき 44 件の欠陥に対する 2 番目のバッチが含まれています。
一般的に、必要なアップデートはできる限り早くインストールする必要があります。デバイスによっては、一部またはすべてのアップデートがGoogle Play開発者サービス経由で自動的に適用される場合もあれば、携帯通信会社やメーカーからアップデートとしてプッシュ通知される場合もあります。また、不要なアップデートもあるかもしれません。運が悪ければ、アップデートが全く適用されないデバイスもあるでしょう。Androidには、脆弱性を悪用する攻撃を阻止するための防御機能がいくつか組み込まれていますので、悪意のあるユーザーがバグを悪用する方法を見つける前に、できる限りパッチを適用してください。
最初のパッチバッチに含まれる11件のうち、2件はリモートコード実行の脆弱性に対する重要な修正としてリストされています。CVE-2019-2027とCVE-2019-2028は、一見すると問題が尽きないAndroidメディアフレームワークに存在し、もし誰かを騙して怪しいメッセージや動画などを開かせることで悪用された場合、攻撃者は被害者のスマートフォンやデバイス上で特権プロセス権限を使って悪意のあるコードを実行できる可能性があります。
この基本パッチセットで修正された他の9つの脆弱性には、Androidメディアフレームワークに存在する権限昇格の脆弱性1件(不正なインストールアプリによって悪用される可能性があります)と、Androidシステムの脆弱性8件(権限昇格のバグ5件、不要な情報漏洩のバグ3件)が含まれます。これら8件の脆弱性はすべて、インストールされたアプリケーション(不正なアプリや悪意のあるアップデートがプッシュされたアプリなど)によって悪用される可能性があります。これら9件の脆弱性はすべて、「高」のセキュリティリスクに分類されています。
Googleによる2回目のアップデートには、3つ目の重大な修正が含まれています。このバグ(CVE-2019-2029)は、システムコンポーネントに存在するリモートコード実行の脆弱性で、細工されたファイルを開かせることで悪用される可能性があります。また、システムコンポーネントには、権限昇格の脆弱性2件(CVE-2019-2032、CVE-2019-2041)と情報漏洩の脆弱性1件(CVE-2019-2037)も修正されています。
ねえ、「一体何が起こっているんだ?」って中国語で何て言うの? ノキアの携帯電話が中国に端末IDを流出させているのが発覚
続きを読む
4月の第2弾パッチには、オープンソースおよびクローズドソースのQualcommドライバに対する膨大なバグ修正が含まれています。オープンソースコンポーネントのパッチのうち1つは、典型的なバッファオーバーフローの不具合であるWLANホストのリモートコード実行脆弱性に関するものです。他の29のオープンソースQualcommドライバの修正は、1つを除いてすべてWLANホストに関するもので、唯一の例外はLinuxカーネルの高レベルの脆弱性です。クローズドソースの修正については、詳細は不明です。
このアップデートは、Android、Adobe、SAPがそれぞれセキュリティ修正を提供する予定の8日前に配信されました。Microsoftのパッチの中には、約10ヶ月間未修正と報じられているIEとEdgeの情報漏洩脆弱性の修正が含まれていることが期待されています。
この欠陥を発見した研究者のジェームス・リー氏は、このバグを修正するためにブラウザベンダーとほぼ1年間協力してきたが、レドモンド社がパッチの公開を遅らせているため、この欠陥をゼロデイとして扱うことに決めたと語った。
一方、Google は自社ストアでの Pixel 2 および 2XL の販売を停止しました。®
