ニュース

74の脆弱性を修正、12月のAndroid月例セキュリティ情報公開

 Googleは5日、Androidの月例セキュリティ情報を公開した。Pixel/Pixel XLとNexusシリーズを含む「Googleデバイス」向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定とのこと。

 端末メーカーなどのパートナー各社には11月7日までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト(AOSP)リポジトリに48時間以内に提供される予定。

 今回発表されたセキュリティパッチは、16件の脆弱性を修正する「2016-12-01」、最も危険度の高い“Critical”11件を含む58件の脆弱性を修正する「2016-12-05」の2つに分かれている。

 2016-12-01に含まれる脆弱性のうち、最新のAndroid 7のみを対象とするものは4件で、Android 6以降が2件、Android 5以降が4件、Android 4.4以降が5件、Android 4.4のみが1件となっている。

 2016-12-05でCriticalとされる脆弱性11件のうち、カーネルメモリサブシステムにおける特権昇格の脆弱性が2件あり、「CVE-2016-4794」はGoogleデバイスのうちPixelシリーズのみが対象。「CVE-2016-5195」は5X以降のNexusシリーズとPixelシリーズが対象となる。

 また、NVIDIA GPUドライバーにおける特権昇格の脆弱性3件(CVE-2016-6775、CVE-2016-6776、CVE-2016-6777)と、NVIDIAビデオドライバーにおける特権昇格の脆弱性2件(CVE-2016-6915、CVE-2016-6917)は、いずれもNexus 9のみが対象。NVIDIAビデオドライバーにおける特権昇格の脆弱性(CVE-2016-6916)はNexus 9とPixel Cが対象で、Googleデバイス向けのイメージとしてのみ提供され、パッチ単独では提供されない。

 これらに加え、カーネル内の特権の昇格の脆弱性(CVE-2015-8966)、カーネルIONドライバーでの特権昇格の脆弱性(CVE-2016-9120)、Qualcommコンポーネントの脆弱性(CVE-2016-8411)が、危険度の高い“Critical”とされている。Qualcommコンポーネントの脆弱性(CVE-2016-8411)の対象となるGoogleデバイスはNexus 6/6P、Android Oneとなっている。