Googleが6月5日(日本時間6日)、Androidの2023年6月セキュリティ情報を公開した。セキュリティパッチレベルは、2023-06-01、2023-06-05の2つに分かれている。
Android スマートフォンにおけるセキュリティパッチは通常、Android スマートフォンのOEMベンダー、あるいは販売を行っている携帯電話会社が提供の判断を行い、配信される。サポートが継続しているPixel スマートフォンにおいては毎月公開されているものの、すべてのAndroid スマートフォンで毎月配信されるものではない。
(追記)6月13日(日本時間14日)にPixel スマートフォンのセキュリティ速報およびアップデートが公開されました。(追記ここまで)
2023-06-01
パッチレベル 2023-06-01では、フレームワーク10件、システム13件が対処された。最大の脆弱性はRCEのCritical。
今月はGoogle Play システムアップデート(Project Mainline)でのセキュリティ修正の配信はなし。
なかでもシステムコンポーネントのRCEに分類される脆弱性が危険性を指摘されており、Bluetooth ハンズフリープロファイルがサポートされているデバイス(つまり、事実上流通している全てのAndroidデバイス)で実機上での操作、追加の実行権限なしにBluetooth経由でリモートからコードが実行できる可能性があるとされている。
2023-06-05
パッチレベル 2023-06-05では、2023-06-01での修正に加え、ARM コンポーネントで3件、Imagination Technologies コンポーネントで2件、Unisoc コンポーネントで4件、Widevine DRMで2件、Qualcomm コンポーネント5件が対処された。
Qualcommのクローズドソースコンポーネントでも重大度Criticalのものを含む17件の脆弱性が修正されている。
今月はこれらのうちARM Mali GPUの脆弱性であるCVE-2022-22706が既に限定的かつ標的を絞ったかたちであるものの悪用の報告がされているとのアナウンスが行われている。脆弱性自体は非特権ユーザーがROM領域上への書き込み権を取得できる特権昇格系のもの。
Midgard、Bifrost、Valhallアーキテクチャの複数の世代をまたがる脆弱性でありMali GPUを採用する複数のベンダーやGoogle Tensor (初代+G2)搭載のARM Mali-G78などにも影響するとみられる。
Pixel スマートフォンのセキュリティ修正と改善
Pixel スマートフォンにはAOSPのAndroid セキュリティ情報に加えて、追加のパッチを含むセキュリティアップデートが提供される。
原則としてAndroidのセキュリティ情報に合わせセキュリティ情報およびアップデートが公開されることとなっているが日本時間早朝5時の時点でPixel Update Bulletinは公開されていない。遅延している模様。
(追記)日本時間6月14日にセキュリティ速報およびアップデートの公開が行われた。フレームワーク10件、システム63件、Pixel26件、Qualcommのコンポーネント1件、Qualcommのクローズドソースコンポーネントで7件の修正が追加されている。最大の脆弱性はRCEのCritical。
このうち、CVE-2023-21237が既に限定的かつ標的を絞ったかたちであるものの既に悪用の報告がなされているとのこと。CVE-2023-21237はMicrosoft Visioに起因する脆弱性で悪意のあるVisioファイルを開いてしまうとリモートでコードを実行される可能性がある。
今月はFeature Dropの月でもあり、公式ブログにて機能アップデートの詳細がアナウンスされている。
- Googleアシスタントによる緊急情報の共有や定期的な安全確認のスケジューリングの追加
- 事故検知サービスでの緊急連絡先への位置情報共有、通話ステータス共有の追加
- Pixel 7 Pro のマクロカメラでのビデオ撮影の追加
- 手のひら認識をトリガーとしてセルフタイマー撮影が行える機能の追加(Pixel 6以降)
- 生成AIを活用した2D壁紙の疑似3D化、絵文字を使ったライブ壁紙の生成機能の追加(Pixel 6以降)
- レコーダーを使用した文字起こしをGoogle ドキュメントにエクスポートし、発言者ラベル付きのビデオクリップを生成して発言者を検索できるようにする機能の追加(Pixel 6以降)
- 机やテーブルなどの硬くて平らな面上にあることを検出すると、振動の強度を下げることができる[アラート バイブレーション自動調整]の追加(Pixel 6aおよび7a)
- アダプティブ充電のアルゴリズムの変更。過去の充電習慣にもとづき、アダプターとの接続が解除されると想定される1時間前合わせで100%までゆっくり充電されるようになるとのこと。
- 新しいGoogle アシスタント音声の追加(米国英語のみ)
などの更新がアナウンスされている。(Pixel WatchやFitbitのアップデートは割愛)
不具合の修正、改善
Pixel コミュニティでも不具合の修正と改善がアナウンスされている。以下は「全般的な改善」は省略。
すべてのPixel デバイス
- 電話機とペアリングされたデバイス間で通話音声の転送が時々妨げられる問題の修正
- ユーザープロファイルの切り替え時にディスプレイの明るさが調整される問題の修正
- 仕事用プロファイルのアカウント同期または特定のアプリ間の接続の改善
- デバイスが再起動されるまでNFCがトリガーされないことがある問題を修正
- ロック画面でのPIN入力のアニメーションを無効にするオプションの追加
- アプリドロワーでアプリの名前が時々切り詰められたり切り取られたりして表示される問題を修正
- 特定のグループ化された通知の角が丸く表示される問題の修正
- 特定の状況でアプリドロワーに着色やシェーディングが発生する問題の修正
- 素早くロックおよびロック解除した後にデバイスが応答しなくなる場合がある問題の修正
- ホーム画面に移動するときにキーボードが表示されることがある問題の修正
- ロック画面の通知がロックアイコンと重なってしまうことがある問題の修正
- デバイスが充電器に接続されていないときにロック画面に充電ステータスが表示されることがある問題の修正
- 通知領域が通知シェードで非表示または空白に表示される場合がある問題の修正
- 通知が通知シェードの領域外にオーバーレイ表示される場合がある問題の修正
- 音量コントロールペインが画面下部で時々見切れる問題の修正
- 通知シェードを開いたり閉じたりすると壁紙が消える場合がある問題の修正
- 通知シェードが展開されているときにキーボードが表示されなくなることがある問題の修正
- ステータスバーにモバイルネットワークの状態を示すアイコンが表示されなくなることがある問題の修正
- クイック設定ボタンがタッチに反応しない場合がある問題の修正
- 下にスワイプするとクイック設定が展開されなくなることがある問題の修正
- 最初のセットアップ中に仕事用プロファイル アカウントのオンボーディングを開始できない場合がある問題の修正
- 特定の状況でのロック画面のタッチ感度または応答を改善するための修正
Pixel 4a、Pixel 4a (5G)、Pixel 5a
- 有線イヤホン・ヘッドホン使用時に時折エコーノイズが発生する問題の改善
Pixel 7、Pixel 7 Pro、Pixel 7a
- 特定のアプリを使用して行われたVoIP 通話で一部の音声が聞き取りづらいことがある問題の修正
- 特定のアプリまたは条件でフロントカメラを使用する際のバッテリー使用量の改善
- 特定の条件下でeSIMのアクティベーションが時々妨げられる問題を修正