2016 年 5 月 2 日公開 | 2016 年 5 月 4 日更新
Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Nexus ファームウェア イメージも Google デベロッパー サイトにリリースされています。2016 年 5 月 1 日以降のセキュリティ パッチ レベルでは、下記の問題に対処しています(セキュリティ パッチ レベルを確認する方法については、Nexus のドキュメントをご覧ください)。
パートナーには、この公開情報に記載の問題について 2016 年 4 月 4 日までに通知済みです。該当する場合、下記の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)レポジトリにリリースされています。
下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。
この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。Android セキュリティ プラットフォームの保護や SafetyNet のようなサービスの保護について詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護は、Android プラットフォームのセキュリティを改善します。
ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。
下記の表に、セキュリティの脆弱性、共通脆弱性識別子(CVE)、その重大度の評価、Nexus 端末への影響があるかどうかの一覧を示します。重大度の評価は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が、開発目的や不正に回避されたために無効にされた場合を前提としています。
| 問題 | CVE | 重大度 | Nexus への影響 |
|---|---|---|---|
| メディアサーバーでのリモートコード実行の脆弱性 | CVE-2016-2428 CVE-2016-2429 |
重大 | あり |
| Debuggerd での権限昇格の脆弱性 | CVE-2016-2430 | 重大 | あり |
| Qualcomm TrustZone での権限昇格の脆弱性 | CVE-2016-2431 CVE-2016-2432 |
重大 | あり |
| Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性 | CVE-2015-0569 CVE-2015-0570 |
重大 | あり |
| NVIDIA ビデオドライバでの権限昇格の脆弱性 | CVE-2016-2434 CVE-2016-2435 CVE-2016-2436 CVE-2016-2437 |
重大 | あり |
| カーネルでの権限昇格の脆弱性 | CVE-2015-1805 | 重大 | あり |
| カーネルでのリモートコード実行の脆弱性 | CVE-2016-2438 | 高 | あり |
| Qualcomm テザリング コントローラでの情報開示の脆弱性 | CVE-2016-2060 | 高 | なし |
| Bluetooth でのリモートコード実行 | CVE-2016-2439 | 高 | あり |
| Binder での権限昇格 | CVE-2016-2440 | 高 | あり |
| Qualcomm Buspm ドライバでの権限昇格の脆弱性 | CVE-2016-2441 CVE-2016-2442 |
高 | あり |
| Qualcomm MDP ドライバでの権限昇格の脆弱性 | CVE-2016-2443 | 高 | あり |
| Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性 | CVE-2015-0571 | 高 | あり |
| NVIDIA ビデオドライバでの権限昇格の脆弱性 | CVE-2016-2444 CVE-2016-2445 CVE-2016-2446 |
高 | あり |
| Wi-Fi での権限昇格 | CVE-2016-4477 | 高 | あり |
| メディアサーバーでの権限昇格の脆弱性 | CVE-2016-2448 CVE-2016-2449 CVE-2016-2450 CVE-2016-2451 CVE-2016-2452 |
高 | あり |
| MediaTek Wi-Fi ドライバでの権限昇格の脆弱性 | CVE-2016-2453 | 高 | あり |
| Qualcomm ハードウェア コーデックでのリモートのサービス拒否の脆弱性 | CVE-2016-2454 | 高 | あり |
| Conscrypt での権限昇格 | CVE-2016-2461 CVE-2016-2462 |
中 | あり |
| OpenSSL および BoringSSL での権限昇格の脆弱性 | CVE-2016-0705 | 中 | あり |
| MediaTek Wi-Fi ドライバでの権限昇格の脆弱性 | CVE-2016-2456 | 中 | あり |
| Wi-Fi での権限昇格 | CVE-2016-2457 | 中 | あり |
| AOSP メールでの情報開示の脆弱性 | CVE-2016-2458 | 中 | あり |
| メディアサーバーでの情報開示の脆弱性 | CVE-2016-2459 CVE-2016-2460 |
中 | あり |
| カーネルでのサービス拒否の脆弱性 | CVE-2016-0774 | 低 | あり |
ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のような サービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
調査にご協力くださった下記の皆様に感謝いたします(敬称略)。
上記のセキュリティの脆弱性の概要で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠を説明し、CVE、関連するバグ、重大度、更新された Nexus 端末、更新された AOSP のバージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した AOSP での変更へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の AOSP リファレンスへのリンクを示します。
特別に細工したメディア ファイルやデータのメディアサーバーでの処理中に、攻撃者がメディアサーバーの脆弱性を悪用して、メモリ破壊やリモートコード実行を行えるおそれがあります。
影響を受ける機能はオペレーティング システムの中核部分として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
この問題は、メディアサーバーのサービスにおいてリモートでコードが実行されるおそれがあるため、重大と見なされています。メディアサーバーの サービスは、音声や動画のストリームにアクセスできる他、サードパーティ製アプリが 通常はアクセスできないような権限にアクセス可能です。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2428 | 26751339 | 重大 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 1 月 22 日 |
| CVE-2016-2429 | 27211885 | 重大 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 16 日 |
統合された Android デバッガに権限昇格の脆弱性があるため、悪意のあるローカルアプリにより、Android デバッガにおいて勝手なコードの実行が可能になるおそれがあります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2430 | 27299236 | 重大 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 22 日 |
Qualcomm TrustZone コンポーネントに権限昇格の脆弱性があり、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれが あります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2431 | 24968809* | 重大 | Nexus 5、Nexus 6、Nexus 7(2013)、Android One | 2015 年 10 月 15 日 |
| CVE-2016-2432 | 25913059* | 重大 | Nexus 6、Android One | 2015 年 11 月 28 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリにより、カーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの権限昇格や勝手なコードの実行によってローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2015-0569 | 26754117* | 重大 | Nexus 5X、Nexus 7(2013) | 2016 年 1 月 23 日 |
| CVE-2015-0570 | 26764809* | 重大 | Nexus 5X、Nexus 7(2013) | 2016 年 1 月 25 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2434 | 27251090* | 重大 | Nexus 9 | 2016 年 2 月 17 日 |
| CVE-2016-2435 | 27297988* | 重大 | Nexus 9 | 2016 年 2 月 20 日 |
| CVE-2016-2436 | 27299111* | 重大 | Nexus 9 | 2016 年 2 月 22 日 |
| CVE-2016-2437 | 27436822* | 重大 | Nexus 9 | 2016 年 3 月 1 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
カーネルに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの権限昇格や勝手なコードの実行によってローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。この問題についての説明は、2016 年 3 月 18 日の Android セキュリティ アドバイザリをご覧ください。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2015-1805 | 27275324* | 重大 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9 | 2016 年 2 月 19 日 |
* 次のカーネル バージョンについて、それぞれ AOSP でパッチを入手可能です(3.14、3.10、3.4)。
オーディオ サブシステムにリモートコード実行の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。通常、このようなカーネルでのコード実行のバグは重大と見なされますが、この脆弱性に関しては、オーディオ サブシステムを呼び出すために最初に特権サービスへの侵入が必要となるため、重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2438 | 26636060* | 高 | Nexus 9 | Google 社内 |
* この問題に対するパッチは Linux アップストリームにあります。
Qualcomm テザリング コントローラに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限なく個人識別情報にアクセスできるおそれがあります。サードパーティのアプリがアクセスできない signature 権限や signatureOrSystem 権限に昇格できるようになるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2060 | 27942588* | 高 | なし | 2016 年 3 月 23 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは影響を受ける端末の最新ドライバに含まれています。
Bluetooth 端末のペア設定中に Bluetooth に脆弱性があるため、近くにいる攻撃者がペア設定の処理中に勝手なコードを実行できるおそれがあります。Bluetooth 端末の初期化中にリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2439 | 27411268 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 28 日 |
Binder に権限昇格の脆弱性があるため、悪意のあるアプリが別のアプリのプロセス内で勝手なコードを実行できるおそれがあります。メモリの解放時に Binder の脆弱性によって、攻撃者がローカルでのコード実行を引き起こす可能性があります。Binder でメモリの解放プロセス中にローカルでコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2440 | 27252896 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 18 日 |
Qualcomm Buspm ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。通常、このようなカーネルでのコード実行のバグは重大と見なされますが、この脆弱性に関しては、最初にドライバを呼び出すことのできるサービスへの侵入が必要であるため、重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2441 | 26354602* | 高 | Nexus 5X、Nexus 6、Nexus 6P | 2015 年 12 月 30 日 |
| CVE-2016-2442 | 26494907* | 高 | Nexus 5X、Nexus 6、Nexus 6P | 2015 年 12 月 30 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm MDP ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。通常、このようなカーネルでのコード実行のバグは重大と見なされますが、この脆弱性に関しては、最初にドライバを呼び出すことのできるサービスへの侵入が必要であるため、重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2443 | 26404525* | 高 | Nexus 5、Nexus 7(2013) | 2016 年 1 月 5 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm Wi-Fi コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、端末の設定や動作を変更するシステム呼び出しの許可のない実行が可能になるおそれがあります。この問題については、サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2015-0571 | 26763920* | 高 | Nexus 5X、Nexus 7(2013) | 2016 年 1 月 25 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
NVIDIA メディアドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。通常、このようなカーネルでのコード実行のバグは重大と見なされますが、この脆弱性に関しては、ドライバを呼び出すために最初に権限の高いサービスへの侵入が必要であるため、重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2444 | 27208332* | 高 | Nexus 9 | 2016 年 2 月 16 日 |
| CVE-2016-2445 | 27253079* | 高 | Nexus 9 | 2016 年 2 月 17 日 |
| CVE-2016-2446 | 27441354* | 高 | Nexus 9 | 2016 年 3 月 1 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Wi-Fi に権限昇格の脆弱性があるため、悪意のあるローカルアプリにより、昇格したシステムアプリにおいて勝手なコードの実行が可能になるおそれがあります。サードパーティ製アプリがアクセスできない signature 権限や signatureOrSystem 権限に昇格できるおそれもあるため、この問題の重大度は「高」と判断されています。
注: MITRE からの依頼で、CVE 番号は CVE-2016-2447 から CVE-2016-4477 に更新されました。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-4477 | 27371366 [2] | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 24 日 |
メディアサーバーに権限昇格の脆弱性があり、昇格したシステムアプリ内で悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。この問題については、サードパーティ製アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、重大度が「高」と見なされています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2448 | 27533704 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 7 日 |
| CVE-2016-2449 | 27568958 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 9 日 |
| CVE-2016-2450 | 27569635 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 9 日 |
| CVE-2016-2451 | 27597103 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 10 日 |
| CVE-2016-2452 | 27662364 [2] [3] | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 14 日 |
MediaTek Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによりカーネルにおいて勝手なコードの実行が可能になるおそれがあります。通常、このようなカーネルでのコード実行のバグは重大と見なされますが、この脆弱性に関しては、最初にドライバを呼び出すことのできるサービスへの侵入が必要であるため、重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2453 | 27549705* | 高 | Android One | 2016 年 3 月 8 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
特別に細工したファイルのメディア ファイルとデータの処理中に、Qualcomm ハードウェア ビデオ コーデックにリモートでのサービス拒否の脆弱性があるため、リモートの攻撃者が端末の再起動を引き起こすことで攻撃対象の端末へのアクセスをブロックできるおそれがあります。リモートでのサービス拒否が可能になるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2454 | 26221024* | 高 | Nexus 5 | 2015 年 12 月 16 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Conscrypt に権限昇格の脆弱性があるため、メッセージが認証されていないのに認証されたとローカルアプリが認識してしまう可能性があります。複数の端末で協調した手順が必要となるため、この問題の重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2461 | 27324690 [2] | 中 | すべての Nexus | 6.0、6.0.1 | Google 社内 |
| CVE-2016-2462 | 27371173 | 中 | すべての Nexus | 6.0、6.0.1 | Google 社内 |
OpenSSL と BoringSSL に権限昇格の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。通常、このような問題の重大度は「高」と見なされますが、一般的でない手動の設定が必要になるため、重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-0705 | 27449871 | 中 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 7 日 |
MediaTek Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがサービス拒否を引き起こす可能性があります。通常、このような権限昇格バグは重大度が「高」と見なされますが、最初にシステム サービスへの侵入が必要になるため、重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-2456 | 27275187* | 中 | Android One | 2016 年 2 月 19 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Wi-Fi に権限昇格の脆弱性があるため、ゲスト アカウントがメインユーザーの持続的な Wi-Fi 設定を変更できるおそれがあります。「危険な」機能への許可のないローカル アクセスが可能になるため、この問題の重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2457 | 27411179 | 中 | すべての Nexus | 5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 29 日 |
AOSP メールに情報開示の脆弱性があるため、悪意のあるローカルアプリがユーザーの個人情報にアクセスできるようになるおそれがあります。許可を得ずに不正にデータにアクセスできるようになるため、この問題の重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2458 | 27335139 [2] | 中 | すべての Nexus | 5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 23 日 |
メディアサーバーに情報開示の脆弱性があるため、アプリが機密情報にアクセスできるおそれがあります。許可を得ずに不正にデータにアクセスできるようになるため、この問題の重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 更新された AOSP のバージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2459 | 27556038 | 中 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 7 日 |
| CVE-2016-2460 | 27555981 | 中 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 7 日 |
カーネルにサービス拒否の脆弱性があるため、悪意のあるローカルアプリが端末の再起動を引き起こすおそれがあります。影響は一時的なサービス拒否に留まるため、この問題の重大度は「低」と判断されています。
| CVE | Android のバグ | 重大度 | 更新された Nexus 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-0774 | 27721803* | 低 | すべての Nexus | 2016 年 3 月 17 日 |
* この問題に対するパッチは Linux アップストリームにあります。
上記の公開情報に対する一般的な質問とその回答について、以下で説明します。
1. 上記の問題に対処するように端末が更新されているかどうかをどのように判断すればよいですか?
上記の問題に対処するアップデートは、セキュリティ パッチ レベルが 2016 年 5 月 1 日以降のものです(セキュリティ パッチ レベルを確認する方法については、Nexus のドキュメントをご覧ください)。このアップデートを組み込んだ端末メーカーは、パッチ文字列のレベルを [ro.build.version.security_patch]:[2016-05-01] に設定する必要があります。
2. 各問題の影響を受ける Nexus 端末を判断するにはどうすればよいですか?
セキュリティの脆弱性の詳細の各表には「更新された Nexus 端末」列があり、その問題に対して更新された、影響を受ける Nexus 端末の範囲が記載されています。この列には次のいずれかが表示されています。
3. この公開情報に CVE-2015-1805 が含まれているのはなぜですか?
CVE-2015-1805 が今回の公開情報に含まれているのは、Android セキュリティ アドバイザリ - 2016 年 3 月 18 日の公開と 4 月の公開情報の発表が近かったためです。時期が近かったため、メーカーは、2016 年 4 月 1 日のセキュリティ パッチ レベルを使用した場合、CVE-2015-1805 の修正なしで、Nexus のセキュリティに関する公開情報 - 2016 年 4 月の修正を出荷することができました。CVE-2015-1805 は、2016 年 5 月 1 日のセキュリティ パッチ レベルを使用するには修正する必要があるため、この公開情報に再び掲載されています。