Googleは2022年通年で、開発元がセキュリティパッチをリリースしても、Androidスマホベンダーが即座に対応せず、スマホユーザーに対するパッチのリリースが遅れることがしばしば起きており、大きなギャップが生じていると述べました。
そしてゼロデイ攻撃を許している現状は、こうしたギャップにも起因すると指摘しています。
脆弱性発見からパッチリリースまで9カ月を要した例
Googleは、その「ギャップ」のために被害の範囲が拡大した例を2つ挙げています。
ARM Mali GPUの脆弱性がAndroidセキュリティチームに報告されたのは2022年7月でした。同セキュリティチームは2022年8月に問題をARMに報告、ARMは10月にバグを修正しました。
ところがユーザー向け修正パッチはリリースされず、2022年11月に、その脆弱性を突いた攻撃が発見されました。Androidセキュリティ情報でこの脆弱性が公開され、ようやくユーザー向けに修正パッチがリリースされたのは2023年4月でした。
つまりパッチがユーザー向けにリリースされるまでに、ゼロデイ脆弱性の発見から9カ月、ARMがパッチをリリースしてから6カ月が経過したことになります。
パッチリリースから11カ月経ってもゼロデイ攻撃が可能だった
https://iphone-mania.jp/news-546986/
