Google fixed two actively exploited Android zero-days
2025/04/08 SecurityAffairs — Google が公表した、2025年4月の Android セキュリティ・アップデートは、62件の脆弱性に対処するものである。このアップデートには、標的型攻撃で悪用されている2件のゼロデイ脆弱性 CVE-2024-53197/CVE-2024-53150 が含まれる。脆弱性 CVE-2024-53197 は、Linux カーネルの問題であり、ALSA USB オーディオに影響を与えるものだ。悪意のデバイスにより、設定値を悪用されると、境界外メモリ・アクセスを引き起こす可能性が生じるという。
Amnesty International が報告したのは、セルビアの活動家の Android スマートフォンのロック解除に、Cellebrite のゼロデイ脆弱性が悪用されたという出来事である。2025年2月25日の声明の中で Cellebrite は、ジャーナリスト兼活動家のスマートフォンのロック解除のために、この脆弱性を警察が利用したとの報告を受け、セルビアにおける同社のソリューションの使用をブロックしたと発表した。
2024年の時点で Security Lab は、Cellebrite のゼロデイ・エクスプロイト・チェーンの証拠を業界パートナーに提供し、Google は3つの脆弱性を特定した。CVE-2024-53104 は、2025年2月の Android アップデートで修正された。その一方で、CVE-2024-53197/CVE-2024-50302 (CVSS:5.5) は、Linux カーネルでは修正されているが、現時点で Android には反映されていない。
Google が 2025年4月の Android アップデートで対処した、2つ目のゼロデイ脆弱性は CVE-2024-53150 である。Linux カーネルの修正により、この ALSA USB オーディオの脆弱性は解決された。この脆弱性により、無効な記述子長がクロック・ソースの検出時に、境界外読み取りを引き起こす可能性があった。Google の対処の内容は、不正な記述子をスキップと、安全なメモリ・アクセスを確保するためのサニティ・チェックの追加である。
Google は、2025-04-01/2025-04-05 という、2つのセキュリティ・パッチ・ コレクションをリリースした。
2025年2月に Google は、Android セキュリティ・アップデートをリリースし、48 件の脆弱性に対処した。その中には、実際に攻撃で悪用されている、ゼロデイ脆弱性 CVE-2024-53104 への対応も含まれていた。
また、2024年11月には、2件の Android ゼロデイ脆弱性 CVE-2024-43047/CVE-2024-43093 に、Google は対処している。これらの脆弱性も、実際に悪用されていた。
Android の 62件の脆弱性が FIX しました。2件のゼロデイ脆弱性 CVE-2024-53104 も含まれていますので、アップデートを忘れないよう、お気をつけください。よろしければ、Android で検索も、ご参照ください。よろしければ、Android で検索も、ご参照下さい。
IoT OT Security News 
You must be logged in to post a comment.