RCEとEoPとIDの詰め合わせ

ほぼこもセキュリティニュース By Terilogy Worx

Android環境向けに脆弱性の修正が多数一度に公開されました。
その数、実に93個です。
そして、含まれる脆弱性の種類も複数あります。

  • RCE:リモートコード実行
  • EoP:特権の昇格
  • ID:情報開示
  • DoS:サービス拒否

これらは2つに分割してパッチレベルが設定されています。
それぞれの内訳は次の通りです。

  • [ro.build.version.security_patch]:[2023-12-01]
    RCE:リモートコード実行:1件
    EoP:特権の昇格:20件
    ID:情報開示:10件
    DoS:サービス拒否:2件

     

  • [ro.build.version.security_patch]:[2023-12-05]
    EoP:特権の昇格:1件
    該当なし:分類は利用できません:59件

特に重大度が致命的なものが4つ含まれていて、その内容は危険です。

  • CVE-2023-40077
    フレームワークに存在する、特権の昇格の脆弱性です。
    [ro.build.version.security_patch]:[2023-12-01]のなかの1つです。

     

  • CVE-2023-40076
    フレームワークに存在する、情報開示の脆弱性です。
    [ro.build.version.security_patch]:[2023-12-01]のなかの1つです。

     

  • CVE-2023-40088
    システムに存在する、リモートコード実行の脆弱性です。
    [ro.build.version.security_patch]:[2023-12-01]のなかの1つです。

     

  • CVE-2023-45866
    システムに存在する、特権の昇格の脆弱性です。
    [ro.build.version.security_patch]:[2023-12-05]のなかの1つです。

これら4つの脆弱性は追加の実行権限が必要なく、リモートで権限が昇格される可能性があります。
悪用にはユーザーの操作は必要ありません。

痺れます。

[ro.build.version.security_patch]:[2023-12-01]は、基本的にAndroidの10以降のフレームワークやシステムに存在する脆弱性です。
[ro.build.version.security_patch]:[2023-12-05]は、1つがAndroidのシステムに関する脆弱性で、残りの脆弱性は個別のコンポーネントに由来するものです。

順次それぞれのAndroidの機種向けに更新が案内されてくることと思われます。
重大度の高い脆弱性を含む内容となっていますので、タイムリーに適用したいです。

参考記事(外部リンク):Android セキュリティ情報 – 2023 年 12 月
source.android.com/docs/security/bulletin/2023-12-01?hl=ja

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。