CVE-2024-43047 & CVE-2024-43093: Android Zero-Days Demand Immediate Patching
2024/11/04 SecurityOnline — 2024年11月のセキュリティ・アップデートにおいて、Google は Android OS の 40件のセキュリティ脆弱性に対応した。そのうちの2件の脆弱性 CVE-2024-43047/CVE-2024-43093 は、現在も悪用されていることが報告されている。Google は、「これらの脆弱性が、標的を絞り込んだ限定的な攻撃で、悪用されているという兆候がある」と述べている。
特に懸念されるのは、Qualcomm の DSP (Digital Signal Processor) サービスに存在する脆弱性 CVE-2024-43047 (CVSS 7.8) である。このゼロデイ脆弱性は、多数の Qualcomm 製チップセットに影響を及ぼすものであり、Google Project Zero/Amnesty International のセキュリティ・ラボや、個人のセキュリティ研究者である Conghui Wang により発見されたものである。
この use-after-free 脆弱性が悪用されるとメモリ破損が生じ、特権を昇格した攻撃者は、影響を受けるデバイスを侵害する可能性を手にする。2024年10月に Qualcomm は、この脆弱性に対するパッチを発行したが、11月の Android セキュリティ・アップデートに取り込むことで、より広範な配布と修正を確実なものとしている。
積極的な悪用が確認されている2つ目の脆弱性 CVE-2024-43093 は、Android のフレームワーク・コンポーネントに影響を与える特権昇格の脆弱性である。この脆弱性は、Android バージョン 12/13/14/15 に影響を及ぼし、大部分の Android エコシステムを攻撃にさらす可能性があるものだ。
Google は通常通り、2つのパッチレベルでアップデートを配信している。
- November 1 Patch Level (2024-11-01) :フレームワークやシステムなど、Android のコア・コンポーネントが対象。
- November 5 Patch Level (2024-11-05) :Qualcomm/MediaTek/Imagination Technologies など、特定のハードウェア・コンポーネントに特有の脆弱性に対処する。
Android ユーザーに強く推奨されるのは、2014年11月のセキュリティ・アップデートが提供され次第、ただちに更新することだ。これらの脆弱性が積極的に悪用されていることを踏まえると、迅速なパッチ適用は、侵害のリスクを軽減するために極めて重要である。
CISA KEV:CVE-2024-43047:Qualcomm Multiple Chipsets Use-After-Free Vulnerability
Android に大量の脆弱性が発見されました。この記事では、その中でも、CVE-2024-43047/CVE-2024-43093 が深刻だとしています。なお、上記のリンクにもあるように、CVE-2024-43047 は CISA-KEV リストにも登録されました。よろしければ、Android で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.