Googleは「Android」のセキュリティアップデートを毎月リリースしており、それらのアップデートには、深刻度が最高の問題に対するパッチが含まれる場合も多い。
Googleは9月のセキュリティアップデートで、深刻度「High」のCVE-2023-35674が「限定的に標的を絞って悪用されている可能性がある」と発表した 。
この問題はゼロデイ脆弱性だ。つまり、修正する能力のある人々にこれまで知られておらず、開発者が問題を緩和できるまで、脅威アクターが悪用できる。
悪意あるアクターがこのゼロデイ脆弱性を利用すると、ユーザーの操作を必要とせずにEoP(Elevation of Privilege:権限昇格)が可能になる。
9月のセキュリティアップデートについては、そのほかにも深刻度「Critical」の脆弱性が以下の通り3件ある(CVE識別番号、参考情報、種別、深刻度、対象となるAndroidのバージョンを記載)。
RCE(リモートコード実行)の脆弱性は、攻撃者がデバイスに直接アクセスせずに悪意あるコードを実行できるため、特に懸念される。
1点気をつけなければならないことは、「Pixel」以外のAndroidスマホにセキュリティパッチを適用できるのはPixelよりも少し先になるということだ。これは、同社がパッチをAndroidスマホメーカーに送り、各社がそのパッチをテストしたうえで、自社のハードウェア向けに調整する必要があるためだ。
スマートフォン向けにアップデートの準備が整えば、Androidデバイスが通知してくれるため、指示されたときにデバイスを再起動するだけでいい。通知のポップアップが表示されたらすぐに再起動するのがいいだろう。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス