ニュース

78の脆弱性を修正、Androidの月例セキュリティ情報公開

 Googleは3日、Androidの月例セキュリティ情報を公開した。今回発表されたセキュリティパッチは、CVE番号ベースで20件の脆弱性を修正する「2016-10-01」、最も危険度の高い“Critical”7件を含むCVE番号ベースで58の脆弱性を修正する「2016-10-05」の2つに分かれており、前者は端末メーカーなどのパートナー各社には9月6日までに通知されているが、後者はパートナーへの通知後に発覚した脆弱性を修正するもの。

 2016-10-05の脆弱性のうち、Criticalとされるのは、カーネルのASN.1デコーダ(CVE-2016-0758)、MediaTekのビデオドライバー(CVE-2016-3928」)、カーネル共有メモリドライバ(CVE-2016-5340)、クアルコムのコンポーネント(CVE-2016-3926、CVE-2016-3927、CVE-2016-3929)における特権昇格の脆弱性。これらと、ネットワークサブシステムの脆弱性(CVE-2016-7117)で、リモートから任意のコードや悪意あるアプリケーションが実行される可能性がある。

 2016-10-01の脆弱性には“Critical”は含まれないが、サービスマネージャー、ロック設定サービス、メディアサーバー、Zygoteプロセス、フレームワークAPI、Telephony、カメラサービス、指紋ログイン、フレームワークリスナー、アクセシビリティサービスのそれぞれにおける特権昇格の脆弱性と、GPS、Wi-Fi、メディアサーバーにおけるサービス拒否の脆弱性が含まれる。

 従来のセキュリティアップデート同様、Nexusシリーズ向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。また、48時間以内にAndroidのオープンソースプロジェクト(AOSP)リポジトリにアップデートのソースコードが提供される。