Google、重大な脆弱性に対するAndroidセキュリティパッチをリリース

Googleは、実際に悪用されているAndroidオペレーティングシステムの重大なゼロデイ脆弱性を特定し、修正しました。

CVE-2024-32896（CVSSスコア：7.8）として追跡されるこの高Severityの脆弱性は、Pixelファームウェアにおける高Severityの特権昇格（EoP）欠陥として分類されています。

特権昇格の脆弱性は、権限の低いユーザーまたはアプリが、通常は権限の高いユーザーまたはアプリに予約されている機能やコンテンツにアクセスできるようになるときに発生します。悪用されると、攻撃者はデータを盗んだり、マルウェアをインストールしたりするなどの行動を実行できます。

CVE-2024-32896は、追加の実行権限を必要とせずにローカルでの特権昇格を引き起こす可能性のあるAndroidフレームワークコンポーネントの論理エラーに関連しており、NIST国家脆弱性データベース（NVD）のバグの説明に記載されています。

ただし、この脆弱性を悪用するにはユーザーの操作が必要です。

この脆弱性は、6月のPixelセキュリティアップデートで最初に報告され、Googleが所有するPixelラインアップのみにパッチがリリースされました。しかし、CVE-2024-32896の脆弱性の影響はPixelデバイスに限らず、Androidエコシステム全体に及びます。

「CVE-2024-32896は、限定的かつ標的を絞った悪用の兆候がある」とGoogleは2024年9月のAndroidセキュリティ速報で述べています。

通常通り、Googleはこの脆弱性がどのように悪用されているかについての技術情報を提供していません。

潜在的な悪用から保護するために、すべてのAndroidユーザーは、デバイスにセキュリティアップデートを直ちにインストールすることを強く推奨します。

最新のセキュリティアップデートをインストールするには、設定 > システム > ソフトウェアアップデート > システムアップデートに移動します。

または、設定 > セキュリティとプライバシー > システムと更新 > セキュリティアップデートに移動し、「アップデートの確認」ボタンをクリックできます。

CVE-2024-32896の脆弱性に加えて、Googleは2024年9月のセキュリティアップデートでAndroidフレームワークとシステムに影響を与える他の9つの高Severityの欠陥も修正しました。