Androidに致命的なリモートコード実行の脆弱性 ～Google、10月のセキュリティ情報を発表

Androidの月例セキュリティ情報

　米Googleは10月4日（現地時間）、Androidの月例セキュリティ情報を発表した。今回公表されたセキュリティ情報の内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。

　今月のセキュリティパッチは通例に従い「2021-10-01」と「2021-10-05」の2本立てとなっており、過去に実施された脆弱性の修正も含まれている。今回新たに修正された脆弱性のなかでもっとも深刻なのは、細工をした送信を利用して特権プロセスのコンテキスト内でリモートから任意のコードを実行できるようになるシステムコンポーネントの欠陥だが、今のところ悪用の報告はないようだ。

セキュリティ パッチレベル「2021-10-01」

　「2021-10-01」は、対応に時間のかかるカーネルコンポーネントや特定ベンダー向けの一部修正を省いたサブセット。Androidパートナーが迅速にユーザーへアップデートを提供できるよう、あえて分割されている。Androidランタイムで1件、フレームワークで6件、メディアフレームワークで1件、システムで2件の脆弱性が修正された。重大度はいずれも「High」で、「Critical」なものは含まれていない。

　また、今月は「GooglePlay」システムで対処されたセキュリティ問題はないとのこと。

セキュリティ パッチレベル「2021-10-05」

　「2021-10-05」は、すべての脆弱性修正を含んだ完全版。「2021-10-01」での修正に加え、システムで1件、カーネルコンポーネントで5件、Telecommunicationで1件、クアルコムのコンポーネントで13件の脆弱性が修正された。なかでもシステムで対処された任意コード実行の問題は重大性が「Critical」と評価されており、警戒が必要だ。

　また、クアルコムのクローズドソースコンポーネントでも多くの問題が修正されている。