ニュース

1月のAndroid月例セキュリティ情報公開、94の脆弱性を修正

 Googleは3日、Androidの月例セキュリティ情報を公開した。Pixel/Pixel XLとNexusシリーズを含む「Googleデバイス」向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。

 端末メーカーなどのパートナー各社には2016年12月5日までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト(AOSP)リポジトリに48時間以内に提供される予定。

 今回発表されたセキュリティパッチは、最も危険度の高い“Critical”1件を含む23件の脆弱性を修正する「2017-01-01」、“Critical”27件を含む71件の脆弱性を修正する「2017-01-05」の2つに分かれている。

 2017-01-01でCriticalとされる1件の脆弱性「CVE-2017-0381」は、攻撃者が細工されたファイルを利用し、MediaServerにおいてデータ処理中にメモリ破損を引き起こして、リモートからコードを実行できる可能性のあるもの。Android 5.0.2以降が対象となる。

 2017-01-01に含まれる脆弱性のうち、最新のAndroid 7のみを対象とするものは2件で、Android 6以降が3件、Android 5以降が前述のCriticalの1件を含む5件、Android 4.4以降が15件となっている。

 2017-01-05でCriticalとされる脆弱性は27件あり、カーネルメモリサブシステムにおける特権昇格の脆弱性「CVE-2015-3288」はNexus 5X、Nexus 6、Nexus 6P、Android One、Pixel C、Nexus Player、Pixel、Pixel XLが対象。

 Qualcommブートローダーにおける特権昇格の脆弱性は2件あり、「CVE-2016-8423」はNexus 6P、Pixel、Pixel XL、「CVE-2016-8422」は加えてNexus 6が対象となる。Qualcomm GPUドライバーにおける特権昇格の脆弱性「CVE-2016-8434」は、Nexus 5X、Nexus 6、Nexus 6P、Android Oneが対象となっている。

 NVIDIA GPUドライバーにおける特権昇格の脆弱性8件「CVE-2016-8424」~「8430」および「CVE-2016-8482」はNexus 9、同脆弱性2件「CVE-2016-8431」「CVE-2016-8432」はPixel Cが対象。また、NVIDIA GPUドライバの権限昇格の脆弱性「CVE-2016-8435」はPixel Cが対象で、Googleデバイス向けのイメージとしてのみ提供され、パッチ単独では提供されない。

 カーネルファイルシステムにおける特権昇格の脆弱性「CVE-2015-5706」と、MediaTekドライバーにおける特権昇格の脆弱性「CVE-2016-8433」、Qualcommビデオドライバーの特権の昇格の脆弱性「CVE-2016-8436」、Qualcommコンポーネントの脆弱性3件「CVE-2016-8438」「CVE-2016-8442」「CVE-2016-8443」は、利用可能なすべてのアップデートをインストールしたAndroid 7.0以降の端末では影響を受けない。このうち、CVE-2016-8433、CVE-2016-8438、CVE-2016-8442、CVE-2016-8443の4件については、Googleデバイス向けのイメージとしてのみ提供され、パッチ単独では提供されない。