Nexus のセキュリティに関する公開情報

2015 年 10 月 5 日公開 | 2015 年 10 月 12 日更新

Android のセキュリティに関する月例情報公開の一環として、Nexus 端末に対するセキュリティアップデートを無線（OTA）アップデートで配信しました。また、Nexus ファームウェアイメージも Google デベロッパーサイトにリリースされています。LMY48T 以降のビルド（LMY48W など）、および Android Marshmallow（セキュリティパッチレベルが 2015 年 10 月 1 日以降）で下記の問題に対処しています。セキュリティパッチレベルを確認する方法について詳しくは、 Nexus のドキュメントをご覧ください。

パートナーには下記の問題について 2015 年 9 月 10 日までに通知済みです。下記の問題に対するソースコードのパッチは、Android オープンソースプロジェクト（AOSP）レポジトリにリリースされています。

下記の問題のうち最も重大なのは、メール、ウェブの閲覧、MMS などの複数の方法を通じて、攻撃を受けた端末でメディアファイルの処理中にリモートコード実行が可能になる重大なセキュリティの脆弱性です。

この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。 Android セキュリティプラットフォームの保護と SafetyNet のようなサービスの保護について詳しくは、リスクの軽減をご覧ください。こうした保護は、Android でプラットフォームのセキュリティを改善します。ご利用の端末でこうしたアップデートを行うことをすべてのユーザーにおすすめします。

セキュリティの脆弱性の概要

下記の表に、セキュリティの脆弱性、共通脆弱性識別子（CVE）、およびその重大度の評価の一覧を示します。重大度の評価は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が、開発目的や不正に回避されたために無効の場合を前提としています。

問題	CVE	重大度
libstagefright でのリモートコード実行の脆弱性	CVE-2015-3873 CVE-2015-3872 CVE-2015-3871 CVE-2015-3868 CVE-2015-3867 CVE-2015-3869 CVE-2015-3870 CVE-2015-3823 CVE-2015-6598 CVE-2015-6599 CVE-2015-6600 CVE-2015-6603 CVE-2015-6601 CVE-2015-3876 CVE-2015-6604	重大
Sonivox でのリモートコード実行の脆弱性	CVE-2015-3874	重大
libutils でのリモートコード実行の脆弱性	CVE-2015-3875 CVE-2015-6602	重大
Skia でのリモートコード実行の脆弱性	CVE-2015-3877	重大
libFLAC でのリモートコード実行の脆弱性	CVE-2014-9028	重大
キーストアでの権限昇格の脆弱性	CVE-2015-3863	高
メディアプレーヤーフレームワークでの権限昇格の脆弱性	CVE-2015-3879	高
Android Runtime での権限昇格の脆弱性	CVE-2015-3865	高
メディアサーバーでの権限昇格の脆弱性	CVE-2015-6596	高
Secure Element Evaluation Kit での権限昇格の脆弱性	CVE-2015-6606	高
Media Projection での権限昇格の脆弱性	CVE-2015-3878	中
Bluetooth での権限昇格の脆弱性	CVE-2015-3847	中
SQLite での権限昇格の脆弱性	CVE-2015-6607	中
メディアサーバーでのサービスの拒否の脆弱性	CVE-2015-6605 CVE-2015-3862	低

リスクの軽減

ここでは、 Android セキュリティプラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。できる限り Android の最新版に更新することをすべてのユーザーにおすすめします。
Android セキュリティチームはアプリの確認と SafetyNet を使って不正使用を積極的に監視しています。こうした機能は、有害なおそれのあるアプリがインストールされる前に警告します。端末のルート権限を取得するツールは Google Play では禁止されています。Google Play 以外からアプリをインストールするユーザーを保護するため、アプリの確認がデフォルトで有効であり、ルート権限を取得する既知のアプリについてユーザーに警告します。アプリの確認は、権限昇格の脆弱性を悪用する既知の悪意のあるアプリのインストールを識別してブロックしようと試みます。こうしたアプリが既にインストールされている場合は、ユーザーに通知し、そのアプリの削除を試みます。
Google では必要に応じて、脆弱性のあるプロセス（メディアサーバーなど）にメディアが自動的に渡されないよう、ハングアウトアプリとメッセンジャーアプリを更新しています。

謝辞

調査に関与された下記の皆様のご協力に感謝いたします。

Brennan Lautner: CVE-2015-3863
Qihoo 360 C0re Team の Yajin Zhou、Lei Wu、Xuxian Jiang: CVE-2015-3868、CVE-2015-3869、CVE-2015-3865、CVE-2015-3862
Copperhead Security の Daniel Micay（daniel.micay@copperhead.co）: CVE-2015-3875
Alibaba Mobile Security Team の dragonltx: CVE-2015-6599
Google Project Zero の Ian Beer、Steven Vittitoe: CVE-2015-6604
Fundación Dr. Manuel Sadosky（アルゼンチンのブエノスアイレス）Programa STIC の Joaquín Rinaudo（@xeroxnir）、Iván Arce（@4Dgifts）: CVE-2015-3870
Zimperium の Josh Drake: CVE-2015-3876、CVE-2015-6602
Exodus Intelligence（@jgrusko）の Jordan Gruskovnjak: CVE-2015-3867
Trend Micro の Peter Pi: CVE-2015-3872、CVE-2015-3871
Qihoo 360 Technology Co. Ltd の Ping Li: CVE-2015-3878
Seven Shen: CVE-2015-6600、CVE-2015-3847
Baidu X-Team の Wangtao（neobyte）: CVE-2015-6598
Trend Micro Inc. の Wish Wu（@wish_wu）: CVE-2015-3823

Chrome セキュリティチーム、Google セキュリティチーム、Project Zero の他、この公開情報で解決した各問題を報告してくれた Google 社員の協力にも感謝します。

セキュリティの脆弱性の詳細

上記のセキュリティの脆弱性の概要で一覧に挙げた各項目について、下記に詳細を説明します。問題と重大度の根拠について説明し、CVE、関連するバグ、重大度、影響を受けるバージョン、および報告日の表を掲載します。該当する場合は、バグ ID の欄に、その問題への対処を示す AOSP へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の AOSP リファレンスへのリンクを示します。

libstagefright でのリモートコード実行の脆弱性

libstagefright に脆弱性があり、特別に細工したメディアファイルやデータが処理される間に、攻撃者がメディアサーバーサービスでメモリ破壊やリモートコード実行を行うおそれがあります。

特権サービスとしてリモートコード実行が可能になるため、この問題は重大と判断されています。攻撃を受けたコンポーネントは音声や動画のストリームにアクセスできる他、通常はサードパーティのアプリがアクセスできない権限にアクセスできます。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-3873	ANDROID-20674086 [ 2 、 3 、 4 ]	重大	5.1 以下	Google 社内
	ANDROID-20674674 [ 2 、 3 、 4 ]
	ANDROID-20718524
	ANDROID-21048776
	ANDROID-21443020
	ANDROID-21814993
	ANDROID-22008959
	ANDROID-22077698
	ANDROID-22388975
	ANDROID-22845824
	ANDROID-23016072
	ANDROID-23247055
	ANDROID-23248776
	ANDROID-20721050	重大	5.0 および 5.1	Google 社内
CVE-2015-3823	ANDROID-21335999	重大	5.1 以下	2105 年 5 月 20 日
CVE-2015-6600	ANDROID-22882938	重大	5.1 以下	2015 年 7 月 31 日
CVE-2015-6601	ANDROID-22935234	重大	5.1 以下	2015 年 8 月 3 日
CVE-2015-3869	ANDROID-23036083	重大	5.1 以下	2015 年 8 月 4 日
CVE-2015-3870	ANDROID-22771132	重大	5.1 以下	2015 年 8 月 5 日
CVE-2015-3871	ANDROID-23031033	重大	5.1 以下	2015 年 8 月 6 日
CVE-2015-3868	ANDROID-23270724	重大	5.1 以下	2015 年 8 月 6 日
CVE-2015-6604	ANDROID-23129786	重大	5.1 以下	2015 年 8 月 11 日
CVE-2015-3867	ANDROID-23213430	重大	5.1 以下	2015 年 8 月 14 日
CVE-2015-6603	ANDROID-23227354	重大	5.1 以下	2015 年 8 月 15 日
CVE-2015-3876	ANDROID-23285192	重大	5.1 以下	2015 年 8 月 15 日
CVE-2015-6598	ANDROID-23306638	重大	5.1 以下	2015 年 8 月 18 日
CVE-2015-3872	ANDROID-23346388	重大	5.1 以下	2015 年 8 月 19 日
CVE-2015-6599	ANDROID-23416608	重大	5.1 以下	2015 年 8 月 21 日

Sonivox でのリモートコード実行の脆弱性

Sonivox に脆弱性があり、特別に細工したメディアファイルが処理される間に、攻撃者がメディアサーバーサービスでメモリ破壊やリモートコード実行を行うおそれがあります。特権サービスとしてリモートコード実行が可能になるため、この問題は重大と判断されています。攻撃を受けたコンポーネントは音声や動画のストリームにアクセスできる他、通常はサードパーティのアプリがアクセスできない権限にアクセスできます。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-3874	ANDROID-23335715	重大	5.1 以下	複数
	ANDROID-23307276 [ 2 ]
	ANDROID-23286323

libutils でのリモートコード実行の脆弱性

汎用ライブラリ libutils での音声ファイルの処理に脆弱性があります。攻撃者がこの脆弱性を悪用して、特別に細工したファイルが処理される間に、メディアサーバーのようなこのライブラリを使用するサービスでメモリ破壊やリモートコード実行を行うおそれがあります。

影響を受ける機能はアプリの API として提供されており、複数のアプリにおいて、リモートコンテンツ（特に MMS やブラウザでのメディアの再生）によってこの脆弱性が攻撃されるおそれがあります。特権サービスとしてリモートコード実行が可能になるため、この問題は重大と判断されています。攻撃を受けたコンポーネントは音声や動画のストリームにアクセスできる他、通常はサードパーティのアプリがアクセスできない権限にアクセスできます。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-3875	ANDROID-22952485	重大	5.1 以下	2015 年 8 月 15 日
CVE-2015-6602	ANDROID-23290056 [ 2 ]	重大	5.1 以下	2015 年 8 月 15 日

Skia でのリモートコード実行の脆弱性

Skia コンポーネントに脆弱性があり、特別に細工されたメディアファイルの処理中に悪用されて、特権プロセスでのメモリ破壊やリモートコード実行につながるおそれがあります。メディアファイルの処理中に、メール、ウェブの閲覧、MMS などの複数の攻撃方法によりリモートコード実行が可能になるため、この問題は重大と判断されています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-3877	ANDROID-20723696	重大	5.1 以下	2015 年 7 月 30 日

libFLAC でのリモートコード実行の脆弱性

libFLAC でのメディアファイル処理に脆弱性があります。攻撃者がこの脆弱性を悪用して、特別に細工したファイルが処理される間に、メモリ破壊やリモートコード実行を行うおそれがあります。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2014-9028	ANDROID-18872897 [ 2 ]	重大	5.1 以下	2014 年 11 月 14 日

キーストアでの権限昇格の脆弱性

キーストアコンポーネントに権限昇格の脆弱性があり、悪意のあるアプリがキーストア API に呼び出す際に悪用するおそれがあります。サードパーティのアプリが直接はアクセスできない権限にアクセスできるようになるので、この問題の重大度は「高」と判断されています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-3863	ANDROID-22802399	高	5.1 以下	2015 年 7 月 28 日

メディアプレーヤーフレームワークでの権限昇格の脆弱性

メディアプレーヤーフレームワークに権限昇格の脆弱性があり、メディアサーバーで悪意のあるアプリが勝手なコードを実行できるおそれがあります。サードパーティのアプリが直接はアクセスできない権限にアクセスできるようになるので、この問題の重大度は「高」と判断されています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-3879	ANDROID-23223325 [2]*	高	5.1 以下	2015 年 8 月 14 日

* この問題に対する 2 回目の変更は AOSP にはありません。アップデートは Google デベロッパーサイトから入手できる Nexus 端末用最新バイナリドライバに含まれています。

Android Runtime での権限昇格の脆弱性

Android Runtime に権限昇格の脆弱性があり、昇格されるシステムアプリで悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。サードパーティのアプリがアクセスできない signature 権限や signatureOrSystem 権限に昇格できるようになるため、この問題の重大度は「高」と判断されています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-3865	ANDROID-23050463 [ 2 ]	高	5.1 以下	2015 年 8 月 8 日

メディアサーバーでの権限昇格の脆弱性

メディアサーバーに複数の脆弱性があり、ネイティブの特権サービスで悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。サードパーティのアプリが直接はアクセスできない権限にアクセスできるようになるので、この問題の重大度は「高」と判断されています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-6596	ANDROID-20731946	高	5.1 以下	複数
	ANDROID-20719651*	高	5.1 以下	複数
	ANDROID-19573085	高	5.0～6.0	Google 社内

* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパーサイトから入手できる Nexus 端末用最新バイナリドライバに含まれています。

Secure Element Evaluation Kit での権限昇格の脆弱性

SEEK （Secure Element Evaluation Kit、別名 SmartCard API）プラグインに脆弱性があり、アプリがリクエストせずに、昇格権限を取得できるおそれがあります。サードパーティのアプリがアクセスできない signature 権限や signatureOrSystem 権限に昇格できるようになるため、この問題の重大度は「高」と判断されています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-6606	ANDROID-22301786*	高	5.1 以下	2015 年 6 月 30 日

* この問題に対処するアップグレードは、 SEEK for Android のサイトにあります。

Media Projection での権限昇格の脆弱性

Media Projection コンポーネントに脆弱性があり、画面のスナップショットの形式でユーザーデータを開示できるおそれがあります。オペレーティングシステムで過度に長いアプリ名を許可しているためにこの問題が発生します。悪意のあるローカルアプリが長い名前を使用して、画面の記録についての警告がユーザーに表示されるのを阻止できます。不正に権限を昇格できるようになるため、この問題の重大度は「中」と判断されています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-3878	ANDROID-23345192	中	5.0～6.0	2015 年 8 月 18 日

Bluetooth での権限昇格の脆弱性

Android の Bluetooth コンポーネントに脆弱性があり、保存されている SMS メッセージをアプリが削除できるおそれがあります。不正に権限を昇格できるようになるため、この問題の重大度は「中」と判断されています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-3847	ANDROID-22343270	中	5.1 以下	2015 年 7 月 8 日

SQLite での権限昇格の脆弱性

SQLite 構文解析エンジンに複数の脆弱性が発見されました。この脆弱性をローカルアプリが悪用して、別のアプリやサービスに勝手な SQL クエリを実行させるおそれがあります。悪用されると、攻撃対象のアプリで勝手なコードが実行されるおそれがあります。

2015 年 4 月 8 日に AOSP マスターに修正がアップロードされ、SQLite がバージョン 3.8.9 にアップグレードされました（ https://android-review.googlesource.com/#/c/145961/ ）。

この公開情報には SQLite の Android 4.4 でのバージョン（SQLite 3.7.11）と Android 5.0、5.1 でのバージョン（SQLite 3.8.6）のパッチが含まれています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-6607	ANDROID-20099586	中	5.1 以下	2015 年 4 月 7 日公開

メディアサーバーでのサービスの拒否の脆弱性

メディアサーバーに複数の脆弱性があり、メディアサーバープロセスをクラッシュさせてサービスを拒否させるおそれがあります。メディアサーバーをクラッシュさせて一時的にサービスをローカルに拒否させるので、重大度は「低」と判断されています。

CVE	バグと AOSP リンク	重大度	影響のあるバージョン	報告日
CVE-2015-6605	ANDROID-20915134	低	5.1 以下	Google 社内
	ANDROID-23142203	低	5.1 以下	Google 社内
	ANDROID-22278703	低	5.0～6.0	Google 社内
CVE-2015-3862	ANDROID-22954006	低	5.1 以下	2015 年 8 月 2 日

改訂

2015 年 10 月 5 日: 情報公開
2015 年 10 月 7 日: AOSP への参照を含めて更新、CVE-2014-9028 のバグの参照を明記
2015 年 10 月 12 日: CVE-2015-3868、CVE-2015-3869、CVE-2015-3865、CVE-2015-3862 の謝辞を更新