「Android 7.1.2」配信開始、脆弱性102件修正、4月の月例セキュリティ情報公開

　Googleは4日、Android OSの最新バージョンとなる「7.1.2」を、Pixel/Pixel C/Pixel XLとNexusシリーズ向けに配信開始するとともに、Androidの月例セキュリティ情報を公開した。

　セキュリティ修正プログラムについては、Pixel/Pixel C/Pixel XLとNexusシリーズを含む「Googleデバイス」向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。

　端末メーカーなどのパートナー各社には3月6日までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト（AOSP）リポジトリに48時間以内に提供される予定。

　今回発表されたセキュリティ修正は、最も危険度の高い“Critical”6件を含む23件の脆弱性を修正する「2017-04-01」、“Critical”8件を含む79件の脆弱性を修正する「2017-04-05」の2つに分かれている。

　2017-04-01でCriticalとされる脆弱性「CVE-2017-0538～0543」の6件はいずれも、MediaServerにおいて攻撃者が細工したファイルを使ってデータ処理中にメモリ破損を引き起こし、リモートからコードを実行できる可能性のあるもの。プロセスのコンテキスト内でリモートコードが実行される可能性があるため、Criticalとされている。

　2017-04-01に含まれるCriticalの脆弱性は、Android 7/7.1.1とAndroid 6.0/6.0.1を対象とするものが6件、Android 5.0.2/5.1.1が2件、Android 4.4.4が1件となる。

　2017-04-05でCriticalとされる8件の脆弱性のうち3件は、リモートからコードを実行できる可能性のあるもので、Broadcom Wi-Fiファームウェアにおける脆弱性「CVE-2017-0561」、Qualcomm暗号化エンジンドライバーにおける脆弱性「CVE-2016-10230」、カーネルのネットワークサブシステムにおける脆弱性「CVE-2016-10229」となる。また、3件は特権昇格の脆弱性で、MediaTekタッチスクリーンドライバーにおける脆弱性「CVE-2017-0562」、HTCのタッチスクリーンドライバーにおける脆弱性「CVE-2017-0563」、カーネルIONサブシステムにおける脆弱性「CVE-2017-0564」となる。残る2件はQualcommコンポーネントにおける脆弱性「CVE-2016-10237」「CVE-2016-10238」となる。