この脆弱性(CVE-2024-53104)はAndroidのLinuxカーネル(OSのコア部分)に影響を及ぼし、想定外となるサイズのメディアファイルを安全に処理できず、メモリ境界を超える不具合を引き起こす。これにより、巧みな攻撃によってデバイスが不安定になる可能性が生じる。詳細はまだ公表されていないが、外部USB機器を電話機に接続する際に悪用されていると考えられ、たとえば法執行機関が使用するフォレンジックの抽出ツールなどが想定されている。
米国サイバーセキュリティ・社会基盤安全保障庁(Cybersecurity and Infrastructure Security Agency, CISA)は、この脆弱性を既知の悪用された脆弱性カタログに追加し、米国機関とその職員に対し、月末に影響を受けるデバイスをアップデートするか「対策が利用できない場合は製品の使用を中止せよ」と義務づけている。これはPixel所有者にとっては問題なく、2月の月例セキュリティリリースを2月26日までに適用すればよい。
CISAの法的義務は連邦職員にのみおよぶが、同庁の使命は「すべての組織が脆弱性をより適切に管理し、脅威の動向に遅れを取らないよう支援すること」である。そのため、民間企業やほかの公共機関もCISAの方針に倣い、同様の「脆弱性優先度の設定」と、即時の適用をすることが期待されている。
Pixelオーナーは、グーグルがセキュリティ修正をリリースするとほぼ同時にこれを適用できるという大きな利点を持つ。CISAの要求する期限に間に合わない理由は見当たらない。もしお使いの端末がすでにサポートを終了しているなら、機種変更を検討すべき時期だろう。他のメーカー(OEM)の端末では、同じように迅速なアップデートが行われるとは限らない。たとえばサムスンは2月の確定済み修正にCVE-2024-53104をまだ含めていない。
総じて、今はPixelオーナーにとっては良い時代だ。Android 15のリリースは迅速かつ比較的スムーズに行われ、主要なセキュリティやプライバシー機能の先行利用も問題なく進んだ。そしてAndroid 16のベータ版も、最初にPixel向けに提供されている。新たな世界秩序が整う中で、Androidの世界は急速に変化しつつある。
(forbes.com 原文)
