「Dirty COW」を含む83件の脆弱性を修正、Androidの月例セキュリティ情報公開

　Googleは7日、Androidの月例セキュリティ情報を公開した。Pixel/Pixel XLとNexusシリーズを含む「Googleデバイス」向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定とのこと。

　端末メーカーなどのパートナー各社には10月20日までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト（AOSP）リポジトリに提供される予定。

　今回発表されたセキュリティパッチは、28件の脆弱性を修正する「2016-11-01」、54件の脆弱性を修正する「2016-11-05」、通称「Dirty COW」と呼ばれ、10月21日に米US-CERTが情報を公開していたLinuxカーネルのメモリサブシステムにおける脆弱性「CVE-2016-5195」を修正する「2016-11-06」の3つに分かれている。CVE-2016-5195は、危険度の高い“Critical”となっている。

　2016-11-01のうち最も危険度の高い“Critical”とされるのは、MediaServerにおいてリモートからコードが実行可能な脆弱性「CVE-2016-6699」、libzipfileにおける特権昇格の脆弱性「CVE-2016-6700」の2件。なお、CVE-2016-6700は、Android 7.0端末では影響を受けない。

　2016-11-05のうちCriticalとされるのは、カーネルファイルシステムにおける特権昇格の脆弱性3件「CVE-2015-8961」「CVE-2016-7910」「CVE-2016-7911」、カーネルSCSIドライバーにおける特権昇格の脆弱性「CVE-2015-8962」、カーネルメディアドライバーにおける特権昇格の脆弱性「CVE-2016-7913」、カーネルのUSBドライバーにおける特権昇格の脆弱性「CVE-2016-7912」、カーネルIONサブシステムにおける特権昇格の脆弱性「CVE-2016-6728」、カーネルネットワーキングサブシステムにおける特権昇格の脆弱性「CVE-2016-6828」、カーネルサウンドサブシステムにおける特権昇格の脆弱性「CVE-2016-2184」、カーネルIONサブシステム内の特権昇格の脆弱性「CVE-2016-6737」、Qualcomm暗号ドライバーにおいてリモートからコードが実行可能な脆弱性「CVE-2016-6725」、Qualcommのコンポーネントにおける脆弱性「CVE-2016-6727」、Qualcommのブートローダーにおける特権昇格の脆弱性「CVE-2016-6729」、NVIDIA GPUドライバーにおける特権昇格の脆弱性7件「CVE-2016-6730」「CVE-2016-6731」「CVE-2016-6732」「CVE-2016-6733」「CVE-2016-6734」「CVE-2016-6735」「CVE-2016-6736」

　このうち、NVIDIA GPUドライバーにおける7件と、CVE-2015-8961、CVE-2015-8962、CVE-2016-7912はPixel/Pixel XLのみが、CVE-2016-6727はAndroid Oneのみが影響を受ける。

　Googleでは今回提供するセキュリティパッチについて、メディアファイルを処理する際に、メール、ウェブブラウジング、MMSなど複数の方法により、影響を受けたデバイス上で、リモートからコードが実行される可能性がある重大なセキュリティ上の脆弱性を修正するものとしている。