RCEとEoPとIDの詰め合わせ
Android環境向けに脆弱性の修正が多数一度に公開されました。
その数、実に93個です。
そして、含まれる脆弱性の種類も複数あります。
- RCE:リモートコード実行
- EoP:特権の昇格
- ID:情報開示
- DoS:サービス拒否
これらは2つに分割してパッチレベルが設定されています。
それぞれの内訳は次の通りです。
- [ro.build.version.security_patch]:[2023-12-01]
RCE:リモートコード実行:1件
EoP:特権の昇格:20件
ID:情報開示:10件
DoS:サービス拒否:2件 - [ro.build.version.security_patch]:[2023-12-05]
EoP:特権の昇格:1件
該当なし:分類は利用できません:59件
特に重大度が致命的なものが4つ含まれていて、その内容は危険です。
- CVE-2023-40077
フレームワークに存在する、特権の昇格の脆弱性です。
[ro.build.version.security_patch]:[2023-12-01]のなかの1つです。 - CVE-2023-40076
フレームワークに存在する、情報開示の脆弱性です。
[ro.build.version.security_patch]:[2023-12-01]のなかの1つです。 - CVE-2023-40088
システムに存在する、リモートコード実行の脆弱性です。
[ro.build.version.security_patch]:[2023-12-01]のなかの1つです。 - CVE-2023-45866
システムに存在する、特権の昇格の脆弱性です。
[ro.build.version.security_patch]:[2023-12-05]のなかの1つです。
これら4つの脆弱性は追加の実行権限が必要なく、リモートで権限が昇格される可能性があります。
悪用にはユーザーの操作は必要ありません。
痺れます。
[ro.build.version.security_patch]:[2023-12-01]は、基本的にAndroidの10以降のフレームワークやシステムに存在する脆弱性です。
[ro.build.version.security_patch]:[2023-12-05]は、1つがAndroidのシステムに関する脆弱性で、残りの脆弱性は個別のコンポーネントに由来するものです。
順次それぞれのAndroidの機種向けに更新が案内されてくることと思われます。
重大度の高い脆弱性を含む内容となっていますので、タイムリーに適用したいです。
参考記事(外部リンク):Android セキュリティ情報 – 2023 年 12 月
source.android.com/docs/security/bulletin/2023-12-01?hl=ja
