78の脆弱性を修正、Androidの月例セキュリティ情報公開

　Googleは3日、Androidの月例セキュリティ情報を公開した。今回発表されたセキュリティパッチは、CVE番号ベースで20件の脆弱性を修正する「2016-10-01」、最も危険度の高い“Critical”7件を含むCVE番号ベースで58の脆弱性を修正する「2016-10-05」の2つに分かれており、前者は端末メーカーなどのパートナー各社には9月6日までに通知されているが、後者はパートナーへの通知後に発覚した脆弱性を修正するもの。

　2016-10-05の脆弱性のうち、Criticalとされるのは、カーネルのASN.1デコーダ（CVE-2016-0758）、MediaTekのビデオドライバー（CVE-2016-3928」）、カーネル共有メモリドライバ（CVE-2016-5340）、クアルコムのコンポーネント（CVE-2016-3926、CVE-2016-3927、CVE-2016-3929）における特権昇格の脆弱性。これらと、ネットワークサブシステムの脆弱性（CVE-2016-7117）で、リモートから任意のコードや悪意あるアプリケーションが実行される可能性がある。

　2016-10-01の脆弱性には“Critical”は含まれないが、サービスマネージャー、ロック設定サービス、メディアサーバー、Zygoteプロセス、フレームワークAPI、Telephony、カメラサービス、指紋ログイン、フレームワークリスナー、アクセシビリティサービスのそれぞれにおける特権昇格の脆弱性と、GPS、Wi-Fi、メディアサーバーにおけるサービス拒否の脆弱性が含まれる。

　従来のセキュリティアップデート同様、Nexusシリーズ向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。また、48時間以内にAndroidのオープンソースプロジェクト（AOSP）リポジトリにアップデートのソースコードが提供される。