概要
Android の DeviceId.java に おいて 境界 チェック の 欠如 が 発見 されました。この 脆弱性 に より、永続 データ(persistence)の 不整合 が 発生 し、ローカル 権限 昇格 が 可能 と なります。
追加 の 実行 権限 は 不要 で、ユーザー の 操作 も 必要 と しない ため、攻撃者 が 端末 上 の アプリケーション を 通じて 権限 昇格 を 達成 できる 可能性 が あります。CWE-120(バッファ オーバーフロー)に 分類 されます。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSSスコア | 10.0 (Critical) |
| 攻撃元区分 | ネットワーク |
| 攻撃条件の複雑さ | 低 |
| 必要な特権レベル | なし |
| ユーザ関与 | なし |
| 機密性への影響 | 高 |
| 完全性への影響 | 高 |
| 可用性への影響 | 高 |
| CWE | CWE-120 (バッファオーバーフロー) |
影響 を 受ける ソフトウェア
| 製品 | ベンダー | 影響バージョン |
|---|---|---|
| Android (Pixel) | 2026年3月セキュリティパッチ未満 |
修正 バージョン と 回避策
- 修正: Google Pixel の 2026年3月 セキュリティ パッチ(2026-03-01)で 修正
- 推奨対策: Pixel 端末 を 最新 の セキュリティ パッチ に アップデート して ください
関連リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。