脆弱性の説明
グーグル アンドロイド 14(スマートフォンオペレーティング システムに脆弱性が発見されました (CVE-2023-21336)、入力メソッドでは、サイドチャネル情報の漏洩により、権限を照会せずにアプリケーションがインストールされているかどうかを判断する方法が考えられます。これにより、追加の実行権限を必要とせずにローカル情報が漏洩する可能性があります。この脆弱性の悪用にはユーザーの介入は必要ありません。
脆弱性の影響:
影響を受けるソフトウェア
# タイプ メーカー 製品バージョン 衝撃面積
1 システム google android ※14.0まで(除く)
アプリケーション開発者への影響評価:
Googleは、Android 14の一部のシステムセキュリティ脆弱性に対するパッチをリリースしました。システムセキュリティの考慮事項に基づいて、ファーウェイは、これらの脆弱性パッチを既存および後続のシステムバージョンに組み込む必要があると評価しました。 Googleのパッチ番号はCVE-2023-21336で、統合後はGoogleインターフェースInputMethodManagerクラスのgetEnabledInputMethodListインターフェースとgetInputMethodListインターフェースの戻り値が変更され、ビジネスに影響を及ぼす可能性があります。アプリケーションにこれら 2 つのインターフェイスへの呼び出しが含まれる場合は、影響を避けるために AndroidManifest.xml にクエリ権限を追加することをお勧めします。それは開発者に一定の影響を与えるでしょう。
この記事は投稿によるものであり、最高セキュリティ責任者の立場を表すものではありません。転載する場合は、出典を明記してください: https://cncso.com/jp/google-android-14-input-method-information-disclosure。 html
