Googleが7月5日(日本時間6日)、Androidの2023年7月セキュリティ情報を公開した。セキュリティパッチレベルは、2023-07-01、2023-07-05の2つに分かれている。
Android スマートフォンにおけるセキュリティパッチは通常、Android スマートフォンのOEMベンダー、あるいは販売を行っている携帯電話会社が提供の判断を行い、配信される。サポートが継続しているPixel スマートフォンにおいては毎月公開されているものの、すべてのAndroid スマートフォンで毎月配信されるものではない。
2023-07-01
パッチレベル 2023-07-01では、フレームワーク12件、システム11件が対処された。最大の脆弱性はRCEのCritical。
うち、システム(Wi-Fi サブコンポーネント)の3件がGoogle Play システムアップデート(Project Mainline)でも修正が配信される。
とくにシステムの脆弱性として挙げられているCVE-2023-2136がエクスプロイトの実例があると警告している。CVE-2023-2136はGoogleが開発する2Dグラフィックスライブラリ「Skia」に起因する整数オーバーフローの脆弱性。細工したHTMLページによりサンドボックスの迂回が可能となる。深刻度評価はHigh(高)。なお、ChromeやEdgeなどの主要ブラウザアプリには既に脆弱性を解消するアップデートが提供されている。
2023-07-05
パッチレベル 2023-07-05では、2023-07-01での修正に加え、カーネルで2件、カーネル コンポーネントで1件、ARM コンポーネントで4件、Imagination Technologies コンポーネントで1件、Mediatek コンポーネントで2件、Qualcomm コンポーネント7件が対処された。
Qualcommのクローズドソースコンポーネントでも重大度Criticalのものを含む3件の脆弱性が修正されている。
とくにARM コンポーネントの脆弱性として挙げられているCVE-2023-26083、CVE-2021-29256にエクスプロイトの実例があると警告している。いずれもARMの提供するMali GPUに起因する脆弱性で特権昇格、情報漏洩の危険性が存在する。
Pixel スマートフォンのセキュリティ修正と改善
Pixel スマートフォンにはAOSPのAndroid セキュリティ情報に加えて、追加のパッチを含むセキュリティアップデートが提供される。原則としてAndroidのセキュリティ情報に合わせセキュリティ情報およびアップデートが公開されることとなっている。
カーネル コンポーネントで2件、Pixel(クローズド)で4件、Qualcommのコンポーネントで1件、Qualcommのクローズドソースコンポーネントで7件の修正差分を含む。
セキュリティ以外のアップデート情報はPixel Communityで公開されている。今月はUpdate Bulletinのページからのリンクが切れていたが。
現時点で案内されているバグ修正と改善はPixel Tabletをターゲットとしたもののみ。
- 特定の条件下における充電、バッテリー使用量、または熱効率に関する全般的な改善
- ロック画面の通知テキストがロック解除 UI 要素の背後に表示されることがあった問題の修正
の2つだけだ。
