Androidの脆弱性58件修正、2月の月例セキュリティ情報公開

　Googleは6日、Androidの月例セキュリティ情報を公開した。Pixel/Pixel XLとNexusシリーズを含む「Googleデバイス」向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。

　端末メーカーなどのパートナー各社には1月3日までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト（AOSP）リポジトリに48時間以内に提供される予定。

　今回発表されたセキュリティパッチは、最も危険度の高い“Critical”3件を含む23件の脆弱性を修正する「2017-02-01」、“Critical”7件を含む35件の脆弱性を修正する「2017-02-05」の2つに分かれている。

　2017-02-01でCriticalとされる脆弱性「CVE-2017-0405」はSurfaceflinger、同じくCriticalの脆弱性「CVE-2017-0406」「CVE-2017-0407」はMediaServerにおいて、攻撃者が細工されたファイルを利用し、データ処理中にメモリ破損を引き起こしてリモートからコードを実行できる可能性のあるもの。いずれもプロセスのコンテキスト内でリモートコードが実行される可能性があるため、Criticalとされている。

　2017-02-01に含まれる脆弱性のうち、最新のAndroid 7のみを対象とするものは前述のCVE-2017-0405を含む6件で、Android 6以降が前述のCVE-2017-0406/0407を含む7件、Android 5以降が3件、Android 4.4以降が7件となっている。

　2017-02-05でCriticalとされる脆弱性は7件あり、カーネルファイルシステムにおける特権昇格の脆弱性「CVE-2017-0427」はNexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XLが対象。

　Qualcomm暗号化ドライバーにおけるリモートからコードが実行される脆弱性「CVE-2016-8418」と、Qualcommコンポーネントの脆弱性「CVE-2017-0431」は、利用可能なすべてのアップデートをインストールしたAndroid 7.0以降の端末では影響を受けないため、パッチ単独では提供されない。

　NVIDIA GPUドライバーにおける特権昇格の脆弱性2件「CVE-2017-0428」「CVE-2017-0429」はNexus 9のみ、カーネルネットワークサブシステムにおける権限昇格の脆弱性「CVE-2014-9914」はNexus 6とNexus Player、Broadcom Wi-Fiドライバーにおける権限昇格の脆弱性「CVE-2017-0430」はNexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Playerがそれぞれ対象となる。