Android OS の深刻な脆弱性 CVE-2022-20345 が FIX:Bluetooth を介した RCE

Google fixed Critical Remote Code Execution flaw in Android

2022/08/03 SecurityAffairs — Google は、Android OS の Bluetooth 経由でリモートコード実行に悪用される、深刻な脆弱性 CVE-2022-20345 に対処した。Google は、Android 12/12L アップデートのリリースに伴い、Android System コンポーネントに影響をおよぼす CVE-2022-20345 修正した。ただし、同社は、この脆弱性についての追加的な詳細を明らかにしていない。

Google が公開したセキュリティ速報には、「このセクションで最も深刻な脆弱性は、追加の実行権限を必要とせずに、Bluetooth 経由でリモートコード実行にいたる可能性がある」と記されている。Google は、セキュリティ・パッチ・レベル 2022-08-01 と 2022-08-05 のリリースにより、この問題に対処した。


今月に Google 修正した欠陥の中で、この脆弱性 CVE-2022-20345 は、唯一の Critical 評価となる。残りの脆弱性は、すべてが High と評価されている。一連の欠陥は、Framework/Media Framework/System/Kernel/Imagination Technologies/MediaTek、Unisoc/Qualcomm などの、各コンポーネントに影響を及ぼす。

その一方で Google は、Google Pixel デバイスにおける、数十のセキュリティ脆弱性に対してパッチを適用したが、その中には、以下の示される4つの深刻なリモートコード実行の脆弱性も含まれる。

CVEREFERENCESTYPESEVERITYCOMPONENT
CVE-2022-20237A-229621649 *RCECriticalModem
CVE-2022-20400A-225178325*RCECriticalModem
CVE-2022-20402A-218701042 *RCECriticalModem
CVE-2022-20403A-207975764 *RCECriticalModem

この脆弱性 CVE-2022-20345 ですが、追加の実行権限を必要とせずに、Bluetooth 経由でリモートコード実行にいたるというのは、ちょっと気味が悪いですね。スマフォの Bluetooth で重宝するのは、音楽と聴くときのイヤフォンですが、いつも充電を忘れるので、いつもカバンに放り込んでいる、有線イヤフォンに戻ってしまいました。そうなると、Bluetooth はディフォルトで OFF になります。たまに、スタバで PC を使うときも、スマフォで WiFi テザリングです。繋げなくても何とかなるものは繋げないというのが、とりあえず安心ですね。

%d bloggers like this: