Google Patches Critical Android Flaw Allowing Remote Code Execution via Bluetooth
2022/08/02 SecurityWeek — 月曜日に Google は、Android OS の最新パッチに関するセキュリティ情報を公開した。今回のアップデートでは、 37件の脆弱性が修正されている。このうち最も深刻な脆弱性 CVE-2022-20345 は、Bluetooth 経由のリモート・コード実行の可能性があり、Systemコンポーネントに影響を及ぼすとされる。この脆弱性についても、Android 12/12L のアップデートでパッチが適用されている。
Google によると、攻撃者は Bluetooth 攻撃でリモートから任意のコードを実行するために、追加の実行権限を必要としないとのことだ。この脆弱性のその他の詳細については、現時点では不明である。
その他の脆弱性の、すべて深刻度 High の評価を受けている。これらの脆弱性は、Framework/Media Framework/System/Kernel/Imagination Technologies/MediaTek/Unisoc/Qualcomm などのコンポーネントに影響を及ぼし、多くは、権限昇格/情報漏洩につながる可能性がある。
これらの不具合に対する修正は、セキュリティ・パッチ・レベル 2022-08-01/2022-08-05 に含まれている。Google は、すべてのデバイスで類似している脆弱性のサブセットを、より迅速に修正する柔軟性を提供するために、2つのパッチレベルをリリースしている。しかし、最新のパッチ・レベルを使用し、単一の更新に全ての修正をバンドルすることを推奨している。
また、Google は Pixel 端末における 40件の脆弱性にも、パッチを適用した。修正された脆弱性には、モデム部品に影響を及ぼす4つの重大なリモート・コード実行の脆弱性も含まれている。権限昇格/情報漏えいの脆弱性のうち、3つは深刻度 Critical と評価され、残りは深刻度 Medium と評価されている。
Samsung は、Android の脆弱性に加え、自社製端末で発見された 20件の脆弱性を修正したアップデートを、同社のフラッグシップモデル向けにリリースしている。
たしか、Google の Android/Pixel セキュリティ・ アップデートは、毎月あったはずと思い、お隣のキュレーション・チームに聞いてみたら、その通りという答えが帰ってきました。というわけで、8月以降も、関連記事があったら、ポストしていくようにします。それと、Bluetooth 経由のリモート・コード実行の脆弱性 CVE-2022-20345 に関しては、詳細な記事を訳していますので、数日のうちにポストできると思っています。よろしければ、Android で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.