GoogleがAndroidデバイスのゼロデイカーネル脆弱性を修正

Googleは月曜日に2024年8月のセキュリティパッチを発表し、46の脆弱性を修正しました。その中には、ターゲット攻撃で積極的に悪用されていたAndroidカーネルに影響を与える重大なゼロデイの欠陥が含まれています。

Googleの脅威分析グループ（TAG）のセキュリティ研究者であるクレモン・ルシーニュ氏が、Androidデバイスのゼロデイ脆弱性を発見し、報告した功績があります。

CVE-2024-36971として追跡されるこのゼロデイの欠陥は、カーネルに影響を与える高危険度の問題として説明されており、「システム実行権限が必要な」リモートコード実行（RCE）に悪用される可能性があります。

目次

• 脆弱性とは？
• リリースされたパッチ

脆弱性とは？

この欠陥は、Linuxカーネルのネットワークルート管理における使用後解放（UAF）脆弱性であり、攻撃者が解放されたメモリを操作できるようにし、ランダムな動作やしばしば悪意のある結果を引き起こす可能性があります。

「CVE-2024-36971は、限られたターゲットの悪用の下にある可能性があるという兆候があります」と、検索大手は2024年8月の月次Androidセキュリティアドバイザリーで述べています。脅威アクターは、パッチが適用されていないデバイスでユーザーの操作なしに任意のコードを実行するためにこれを利用する可能性があります。

Googleは、悪用や攻撃の背後にいる脅威アクターに関する詳細を開示しませんでしたが、TAGのセキュリティ研究者は、国家が支援する監視ソフトウェア攻撃で使用されるゼロデイを特定し、開示することが多いことが知られています。

リリースされたパッチ

Googleは、2024年8月のセキュリティ更新の一環として、2024-08-01および2024-08-05の2つのパッチセットをリリースしました。

2024-08-01の初期セキュリティパッチレベルでは、Androidフレームワークが13の高危険度の脆弱性でパッチされ、そのうち11は特権昇格（EoP）、1は情報漏洩（ID）、1はサービス拒否（DoS）です。さらに、システムコンポーネントの高危険度の脆弱性（CVE-2024-34727）も修正されています。

さらに、2番目のパッチセットである2024-08-05のセキュリティパッチレベルには、カーネル（1）、Armコンポーネント（2）、Imagination Technologies（1）、MediaTekコンポーネント（1）、Qualcommコンポーネント（20）、およびQualcommのクローズドソースコンポーネント（7）の32の脆弱性に対する修正が含まれており、その中には重大な脆弱性（CVE-2024-23350）も含まれています。

アドバイザリーでは、「これらの問題に対するソースコードパッチは、次の48時間以内にAndroidオープンソースプロジェクト（AOSP）リポジトリにリリースされる予定です」と説明しています。

Google Pixelデバイスは即座にセキュリティ更新を受け取りますが、他のデバイスメーカーは、さまざまなハードウェア構成間の互換性を確保するためにセキュリティパッチの追加テストが必要なため、更新の展開に遅れが生じる可能性があります。

したがって、Androidユーザーは、デバイスと自身を重大なセキュリティリスクから保護するために、2024-08-01および2024-08-05のセキュリティパッチレベルをできるだけ早く適用することを強く推奨します。

今年の初め、Googleは、Pixelファームウェアにおける特権昇格（EoP）欠陥として説明されたゼロデイの高危険度の脆弱性（CVE-2024-32896）を修正しました。