ニュース

Androidの脆弱性107件修正、3月の月例セキュリティ情報公開

 Googleは6日、Androidの月例セキュリティ情報を公開した。Pixel/Pixel C/Pixel XLとNexusシリーズを含む「Googleデバイス」向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定。

 端末メーカーなどのパートナー各社には2月6日までに通知されており、アップデートのソースコードがAndroidのオープンソースプロジェクト(AOSP)リポジトリに48時間以内に提供される予定。

 今回発表されたセキュリティ修正は、最も危険度の高い“Critical”11件を含む36件の脆弱性を修正する「2017-03-01」、“Critical”24件を含む71件の脆弱性を修正する「2017-03-05」の2つに分かれている。

 2017-03-01でCriticalとされる脆弱性「CVE-2016-2182」はOpenSSLとBoringSSLにおいて、脆弱性「CVE-2017-0466~0474」の9件はMediaServerにおいて、いずれも攻撃者が細工したファイルを使ってデータ処理中にメモリ破損を引き起こし、リモートからコードを実行できる可能性のあるもの。プロセスのコンテキスト内でリモートコードが実行される可能性があるため、Criticalとされている。また、ローカルの悪意あるアプリによって、カーネルのコンテキスト内で任意のコードが実行される可能性のある回復検証中の特権昇格の脆弱性「CVE-2017-0475」も、Criticalに分類されている。

 2017-03-01に含まれる脆弱性のうち、最新のAndroid 7/7.1.1を対象とするものは、Criticalの11件を含む36件。Android 6.0/6.0.1がCVE-2017-0474を除いたCriticalの10件を含む31件となる。Android 5.0.2/5.1.1が13件、Android 4.4.4が8件で、CriticalのCVE-2016-2182/CVE-2017-0475も含まれる。

 2017-03-05でCriticalとされる脆弱性は24件。MediaTekコンポーネントにおける特権昇格の脆弱性「CVE-2017-0500~0506」の7件と、Broadcom Wi-Fiドライバーにおける特権昇格の脆弱性「CVE-2017-0509」、Qualcommコンポーネントの脆弱性「CVE-2016-8484~8488」の5件の計13件については、利用可能なすべてのアップデートをインストールしたAndroid 7.0以降の端末では影響を受けないため、パッチ単独では提供されない。

 NVIDIA GPUドライバーにおける特権昇格の脆弱性「CVE-2017-0306」と、カーネルFIQデバッガーにおける特権昇格の脆弱性「CVE-2017-0510」はNexus 9のみが対象。NVIDIA GPUドライバーにおける特権昇格の脆弱性「CVE-2017-0337」「CVE-2017-0338」「CVE-2017-0333」「CVE-2017-0335」の4件はPixel Cのみが対象となる。

 カーネルIONサブシステムにおける特権昇格の脆弱性「CVE-2017-0507」はAndroid One、Nexus 5X/6/6P/9、Nexus Player、Pixel/Pixel C/Pixel XLが、「CVE-2017-0508」はPixel Cのみが対象。Qualcomm GPUドライバーにおける特権昇格の脆弱性「CVE-2016-8479」はAndroid One、Nexus 5X/6/6P、Pixel/Pixel XLが対象。カーネルネットワーキングサブシステムにおける特権昇格の脆弱性「CVE-2016-9806」はPixel/Pixel C/Pixel XLが、「CVE-2016-10200」はNexus 5X/6P、Pixel/Pixel XLが対象となる。