Androidの重大な脆弱性が標的型攻撃などへ悪用の可能性(CVE-2024-43093,CVE-2024-50302)|セキュリティニュース

投稿日時: 2025年03月05日更新日時: 2025年03月05日

Googleは2025年3月のAndroidセキュリティ情報を公開し、Androidデバイスに影響を与える複数のセキュリティ脆弱性(CVE-2024-43093,CVE-2024-50302)を明らかにしました。

2025年3月5日公開のパッチでは、すべての脆弱性に対応されるので対象者はアップデートする事をお勧めします。

悪用が確認された脆弱性 – 標的型攻撃の報告

今回のセキュリティ情報では、CVE-2024-43093が限定的ながら標的型攻撃で悪用されていることが確認されました。

この脆弱性は、Android FrameworkおよびGoogle Playシステムアップデートの「Documents UI」コンポーネントに存在する権限昇格（EoP）の脆弱性です。

また、CVE-2024-50302も積極的に悪用されていることが判明しました。

このLinuxカーネルの高リスク脆弱性（HID: core）は、不正なカーネルメモリアクセスを可能にします。

セルブライト（Cellebrite）社のフォレンジックツールを使用したセルビアの法執行機関がこの脆弱性を利用し、学生活動家のデバイスロックを解除し、スパイウェアがインストールされようとした事例が報告されています。

Androidシステムコンポーネントには、複数のリモートコード実行（RCE）の脆弱性が存在しています。影響を受けるCVEは以下の通りです。

これらの脆弱性は、追加の実行権限なしに攻撃者がリモートから任意のコードを実行できる可能性があり、非常に危険です。Android 13、14、15を実行しているデバイスは、2025年3月5日公開の最新のセキュリティパッチを適用することが強く推奨されます。

Android Frameworkおよびカーネルには、権限昇格（EoP）や情報漏洩の脆弱性が含まれています。

権限昇格（EoP）の脆弱性
- CVE-2025-0092
- CVE-2025-0093
- CVE-2025-22404
- CVE-2025-22405
- CVE-2025-22406
- Android 15デバイスにおいて、攻撃者がroot権限を取得できる可能性あり。
情報漏洩の脆弱性
- CVE-2024-49728
- CVE-2025-26417
- 機密データが漏洩し、さらなる攻撃に繋がる恐れあり。
サービス拒否（DoS）の脆弱性
- CVE-2025-0081
- Android 12、12L、13、14、15に影響を与える重大なDoSの脆弱性。

2025年3月のセキュリティ情報には、MediaTekおよびQualcommのチップセットに関連する脆弱性の修正も含まれています。

MediaTekの脆弱性
- CVE-2025-20645（KeyInstall）
- CVE-2025-20644（Modem）
- 高リスクの脆弱性がMediaTekチップセットに影響。
Qualcommの脆弱性
- CVE-2024-49836（カメラ）
- CVE-2024-49838（WLAN）
- CVE-2024-53014（オーディオ）
- CVE-2024-53024（ディスプレイ）
- CVE-2024-53027（WLAN）
- Qualcommのハードウェアおよびファームウェアに影響し、メーカーによる個別のアップデートが必要。