74の脆弱性を修正、12月のAndroid月例セキュリティ情報公開

　Googleは5日、Androidの月例セキュリティ情報を公開した。Pixel/Pixel XLとNexusシリーズを含む「Googleデバイス」向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定とのこと。

　端末メーカーなどのパートナー各社には11月7日までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト（AOSP）リポジトリに48時間以内に提供される予定。

　今回発表されたセキュリティパッチは、16件の脆弱性を修正する「2016-12-01」、最も危険度の高い“Critical”11件を含む58件の脆弱性を修正する「2016-12-05」の2つに分かれている。

　2016-12-01に含まれる脆弱性のうち、最新のAndroid 7のみを対象とするものは4件で、Android 6以降が2件、Android 5以降が4件、Android 4.4以降が5件、Android 4.4のみが1件となっている。

　2016-12-05でCriticalとされる脆弱性11件のうち、カーネルメモリサブシステムにおける特権昇格の脆弱性が2件あり、「CVE-2016-4794」はGoogleデバイスのうちPixelシリーズのみが対象。「CVE-2016-5195」は5X以降のNexusシリーズとPixelシリーズが対象となる。

　また、NVIDIA GPUドライバーにおける特権昇格の脆弱性3件（CVE-2016-6775、CVE-2016-6776、CVE-2016-6777）と、NVIDIAビデオドライバーにおける特権昇格の脆弱性2件（CVE-2016-6915、CVE-2016-6917）は、いずれもNexus 9のみが対象。NVIDIAビデオドライバーにおける特権昇格の脆弱性（CVE-2016-6916）はNexus 9とPixel Cが対象で、Googleデバイス向けのイメージとしてのみ提供され、パッチ単独では提供されない。

　これらに加え、カーネル内の特権の昇格の脆弱性（CVE-2015-8966）、カーネルIONドライバーでの特権昇格の脆弱性（CVE-2016-9120）、Qualcommコンポーネントの脆弱性（CVE-2016-8411）が、危険度の高い“Critical”とされている。Qualcommコンポーネントの脆弱性（CVE-2016-8411）の対象となるGoogleデバイスはNexus 6/6P、Android Oneとなっている。