Google fixed Critical Remote Code Execution flaw in Android
2022/08/03 SecurityAffairs — Google は、Android OS の Bluetooth 経由でリモートコード実行に悪用される、深刻な脆弱性 CVE-2022-20345 に対処した。Google は、Android 12/12L アップデートのリリースに伴い、Android System コンポーネントに影響をおよぼす CVE-2022-20345 修正した。ただし、同社は、この脆弱性についての追加的な詳細を明らかにしていない。
Google が公開したセキュリティ速報には、「このセクションで最も深刻な脆弱性は、追加の実行権限を必要とせずに、Bluetooth 経由でリモートコード実行にいたる可能性がある」と記されている。Google は、セキュリティ・パッチ・レベル 2022-08-01 と 2022-08-05 のリリースにより、この問題に対処した。
今月に Google 修正した欠陥の中で、この脆弱性 CVE-2022-20345 は、唯一の Critical 評価となる。残りの脆弱性は、すべてが High と評価されている。一連の欠陥は、Framework/Media Framework/System/Kernel/Imagination Technologies/MediaTek、Unisoc/Qualcomm などの、各コンポーネントに影響を及ぼす。
その一方で Google は、Google Pixel デバイスにおける、数十のセキュリティ脆弱性に対してパッチを適用したが、その中には、以下の示される4つの深刻なリモートコード実行の脆弱性も含まれる。
| CVE | REFERENCES | TYPE | SEVERITY | COMPONENT |
|---|---|---|---|---|
| CVE-2022-20237 | A-229621649 * | RCE | Critical | Modem |
| CVE-2022-20400 | A-225178325* | RCE | Critical | Modem |
| CVE-2022-20402 | A-218701042 * | RCE | Critical | Modem |
| CVE-2022-20403 | A-207975764 * | RCE | Critical | Modem |
この脆弱性 CVE-2022-20345 ですが、追加の実行権限を必要とせずに、Bluetooth 経由でリモートコード実行にいたるというのは、ちょっと気味が悪いですね。スマフォの Bluetooth で重宝するのは、音楽と聴くときのイヤフォンですが、いつも充電を忘れるので、いつもカバンに放り込んでいる、有線イヤフォンに戻ってしまいました。そうなると、Bluetooth はディフォルトで OFF になります。たまに、スタバで PC を使うときも、スマフォで WiFi テザリングです。繋げなくても何とかなるものは繋げないというのが、とりあえず安心ですね。
IoT OT Security News 
You must be logged in to post a comment.