Androidの脆弱性118件修正、5月の月例セキュリティ情報公開

　Googleは2日、Androidの月例セキュリティ情報を公開した。Pixel/Pixel C/Pixel XLとNexusシリーズを含む「Googleデバイス」向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。端末メーカーなどのパートナー各社には4月3日までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト（AOSP）リポジトリに48時間以内に提供される予定。

　今回のセキュリティ修正は、最も危険度の高い“Critical”6件を含む20件の脆弱性を修正する「2017-05-01」、“Critical”23件を含む98件の脆弱性を修正する「2017-05-05」の2つに分かれている。

　2017-05-01でCriticalとされる6件の脆弱性「CVE-2017-0587～0592」は、MediaServerにおいて、いずれも攻撃者が細工したファイルを使ってデータ処理中にメモリ破損を引き起こし、リモートからコードを実行できる可能性のあるもの。プロセスのコンテキスト内でリモートコードが実行される可能性があるため、Criticalとされている。

　2017-05-01に含まれる脆弱性のうち、Android 7.1.2を対象とするのは、Criticalの6件を含む17件。Android 7/7.1.1が、Criticalの6件を含む20件。Android 6.0/6.0.1が、Criticalの6件を含む17件。Android 5.0.2/5.1.1が、Criticalの4件を含む13件。Android 4.4.4が、Criticalの2件を含む11件。

　2017-05-05でCriticalとされる脆弱性23件のうち、「CVE-2015-7555」は、GIFLIBにおいて攻撃者がリモートから任意のコードを実行できる可能性のあるもの。MediaServerプロセスのコンテキスト内でリモートコードが実行される可能性があるため、Criticalとされている。

　カーネルのコンテキスト内で任意のコードを実行可能となる特権昇格の脆弱性は8件あり、「CVE-2016-10274」はMediaTekコンポーネント、「CVE-2016-10275～10276」はQualcommブートローダー、「CVE-2016-10277」はMotorolaブートローダー、「CVE-2016-9794」はカーネルサウンドサブシステム、「CVE-2017-0331」はNVIDIAビデオドライバー、「CVE-2017-0604」はQualcommパワードライバー、「CVE-2017-0605」はカーネルトレースサブシステムにおけるもの。

　脆弱性「CVE-2016-10240～10241」「CVE-2014-9923～9930」「CVE-2015-9005～9007」「CVE-2016-10297」の14件は、Qualcommコンポーネントにおけるもの。このうち「CVE-2016-10240～10241」を除く12件は、2014～2016年にAMSSセキュリティ情報の一部としてQualcommよりリリースされているが、Androidセキュリティパッチレベルと修正を関連付けるために、今回のAndroidのセキュリティ情報に含まれている。