Google、2月のAndoroidセキュリティアップデートで悪用されるゼロデイに対処:CVE-2024-53104
Securityonline[.]info – February 3, 2025
Googleは2025年2月のAndroidセキュリティアップデートにおいて、48件の脆弱性に対処。これには、実際の攻撃で悪用されているゼロデイCVE-2024-53104が含まれるという。
CVE-2024-53104はAndroidカーネルのUSB ビデオ クラス ドライバーに影響を与える権限昇格の脆弱性。uvc_parse_format関数内に存在する欠陥で、UVC_VS_UNDEFINEDのタイムフレームが不適切にパース処理されることにより、フレームバッファサイズの計算ミスが生じる。これが境界外書き込みを招き、攻撃者による任意コードの実行やDoS状態の誘発を可能にする恐れがあるという。
Googleは同ゼロデイが「限定的な標的型攻撃の対象である可能性を示す兆候」があると認めているものの、観測された攻撃に関する具体的な詳細は明かしていない。ただ、Android製品のゼロデイといえば最近は商用スパイウェアベンダーによるデバイス侵害に利用されるケースも報告されていることから、今回の悪用もスパイウェアが関連している可能性は捨て切れない。
なお今回のセキュリティアップデートは、以下2つのパートに分けて配布されるという。
- セキュリティパッチレベル2025-02-01:Frameworkコンポーネントにおける17件の脆弱性を修正するもの。
- セキュリティパッチレベル2025-02-05:Qualcommコンポーネントに影響を与える10件の脆弱性に対処するもの。これには、Qualcomm WLANファームウェアの重大なRCE脆弱性CVE-2024-45569が含まれる。
2025-02-05パッチレベルは包括的な内容となっており、両方のアップデートで提供される全パッチが盛り込まれているとのこと。前述のゼロデイCVE-2024-53104も、後者のパッチレベルで修正されている。管理者およびエンドユーザーには、これらのアップデートのデプロイおよびインストールを優先的に行い、修正された脆弱性に関連するリスクを軽減することが強く推奨されている。