2017 年 3 月 6 日公開 | 2017 年 3 月 7 日更新
Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Google 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも Google デベロッパー サイトでリリースしています。2017 年 3 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、Pixel と Nexus のアップデート スケジュールをご覧ください。
パートナーには、この公開情報に記載の問題について 2017 年 2 月 6 日までに通知済みです。Android オープンソース プロジェクト(AOSP)レポジトリに、下記の問題に対するソースコードのパッチをリリースしています。この公開情報には AOSP 以外のパッチへのリンクも掲載しています。
下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。
この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。Android セキュリティ プラットフォームの保護や SafetyNet のようなサービスの保護について詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。
下記の表に、セキュリティの脆弱性、その共通脆弱性識別子(CVE)、重大度の判定、Google 端末への影響があるかどうかの一覧を示します。重大度の判定は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的で無効にされるか不正に回避された場合を前提としています。
セキュリティ パッチ レベル 2017-03-01 以降では、下記の問題に対処する必要があります。
| 問題 | CVE | 重大度 | Google 端末への影響 |
|---|---|---|---|
| OpenSSL と BoringSSL でのリモートコード実行の脆弱性 | CVE-2016-2182 | 重大 | あり |
| メディアサーバーでのリモートコード実行の脆弱性 | CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471、CVE-2017-0472、CVE-2017-0473、CVE-2017-0474 | 重大 | あり |
| リカバリ ベリファイアでの権限昇格の脆弱性 | CVE-2017-0475 | 重大 | あり |
| AOSP メッセージでのリモートコード実行の脆弱性 | CVE-2017-0476 | 高 | あり |
| libgdx でのリモートコード実行の脆弱性 | CVE-2017-0477 | 高 | あり |
| Framesequence ライブラリでのリモートコード実行の脆弱性 | CVE-2017-0478 | 高 | あり |
| NFC での権限昇格の脆弱性 | CVE-2017-0481 | 高 | あり |
| オーディオサーバーでの権限昇格の脆弱性 | CVE-2017-0479、CVE-2017-0480 | 高 | あり |
| メディアサーバーでのサービス拒否の脆弱性 | CVE-2017-0482、CVE-2017-0483、CVE-2017-0484、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0488 | 高 | あり |
| ロケーション マネージャでの権限昇格の脆弱性 | CVE-2017-0489 | 中 | あり |
| Wi-Fi での権限昇格の脆弱性 | CVE-2017-0490 | 中 | あり |
| パッケージ マネージャでの権限昇格の脆弱性 | CVE-2017-0491 | 中 | あり |
| システム UI での権限昇格の脆弱性 | CVE-2017-0492 | 中 | あり |
| AOSP メッセージでの情報開示の脆弱性 | CVE-2017-0494 | 中 | あり |
| メディアサーバーでの情報開示の脆弱性 | CVE-2017-0495 | 中 | あり |
| セットアップ ウィザードでのサービス拒否の脆弱性 | CVE-2017-0496 | 中 | あり |
| メディアサーバーでのサービス拒否の脆弱性 | CVE-2017-0497 | 中 | あり |
| セットアップ ウィザードでのサービス拒否の脆弱性 | CVE-2017-0498 | 中 | なし* |
| オーディオサーバーでのサービス拒否の脆弱性 | CVE-2017-0499 | 低 | あり |
* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
セキュリティ パッチ レベル 2017-03-05 以降では、2017-03-01 に関連するすべての問題に加えて、下記の問題に対処する必要があります。
| 問題 | CVE | 重大度 | Google 端末への影響 |
|---|---|---|---|
| MediaTek コンポーネントでの権限昇格の脆弱性 | CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0503、CVE-2017-0504、CVE-2017-0505、CVE-2017-0506 | 重大 | なし* |
| NVIDIA GPU ドライバでの権限昇格の脆弱性 | CVE-2017-0337、CVE-2017-0338、CVE-2017-0333、CVE-2017-0306、CVE-2017-0335 | 重大 | あり |
| カーネル ION サブシステムでの権限昇格の脆弱性 | CVE-2017-0507、CVE-2017-0508 | 重大 | あり |
| Broadcom Wi-Fi ドライバでの権限昇格の脆弱性 | CVE-2017-0509 | 重大 | なし* |
| カーネル FIQ デバッガでの権限昇格の脆弱性 | CVE-2017-0510 | 重大 | あり |
| Qualcomm GPU ドライバでの権限昇格の脆弱性 | CVE-2016-8479 | 重大 | あり |
| カーネル ネットワーク サブシステムでの権限昇格の脆弱性 | CVE-2016-9806、CVE-2016-10200 | 重大 | あり |
| Qualcomm コンポーネントでの脆弱性 | CVE-2016-8484、CVE-2016-8485、CVE-2016-8486、CVE-2016-8487、CVE-2016-8488 | 重大 | なし* |
| カーネル ネットワーク サブシステムでの権限昇格の脆弱性 | CVE-2016-8655、CVE-2016-9793 | 高 | あり |
| Qualcomm 入力ハードウェア ドライバでの権限昇格の脆弱性 | CVE-2017-0516 | 高 | あり |
| MediaTek ハードウェア センサー ドライバでの権限昇格の脆弱性 | CVE-2017-0517 | 高 | なし* |
| Qualcomm ADSPRPC ドライバでの権限昇格の脆弱性 | CVE-2017-0457 | 高 | あり |
| Qualcomm 指紋認証センサー ドライバでの権限昇格の脆弱性 | CVE-2017-0518、CVE-2017-0519 | 高 | あり |
| Qualcomm crypto エンジン ドライバでの権限昇格の脆弱性 | CVE-2017-0520 | 高 | あり |
| Qualcomm カメラドライバでの権限昇格の脆弱性 | CVE-2017-0458、CVE-2017-0521 | 高 | あり |
| MediaTek APK での権限昇格の脆弱性 | CVE-2017-0522 | 高 | なし* |
| Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性 | CVE-2017-0464、CVE-2017-0453、CVE-2017-0523 | 高 | あり |
| Synaptics タッチスクリーン ドライバでの権限昇格の脆弱性 | CVE-2017-0524 | 高 | あり |
| Qualcomm IPA ドライバでの権限昇格の脆弱性 | CVE-2017-0456、CVE-2017-0525 | 高 | あり |
| HTC センサーハブ ドライバでの権限昇格の脆弱性 | CVE-2017-0526、CVE-2017-0527 | 高 | あり |
| NVIDIA GPU ドライバでの権限昇格の脆弱性 | CVE-2017-0307 | 高 | なし* |
| Qualcomm ネットワーク ドライバでの権限昇格の脆弱性 | CVE-2017-0463、CVE-2017-0460 | 高 | あり |
| カーネル セキュリティ サブシステムでの権限昇格の脆弱性 | CVE-2017-0528 | 高 | あり |
| Qualcomm SPCom ドライバでの権限昇格の脆弱性 | CVE-2016-5856、CVE-2016-5857 | 高 | なし* |
| カーネル ネットワーク サブシステムでの情報開示の脆弱性 | CVE-2014-8709 | 高 | あり |
| MediaTek ドライバでの情報開示の脆弱性 | CVE-2017-0529 | 高 | なし* |
| Qualcomm ブートローダーでの情報開示の脆弱性 | CVE-2017-0455 | 高 | あり |
| Qualcomm 電源ドライバでの情報開示の脆弱性 | CVE-2016-8483 | 高 | あり |
| NVIDIA GPU ドライバでの情報開示の脆弱性 | CVE-2017-0334、CVE-2017-0336 | 高 | あり |
| カーネル暗号化サブシステムでのサービス拒否の脆弱性 | CVE-2016-8650 | 高 | あり |
| Qualcomm カメラドライバでの権限昇格の脆弱性(端末固有) | CVE-2016-8417 | 中 | あり |
| Qualcomm Wi-Fi ドライバでの情報開示の脆弱性 | CVE-2017-0461、CVE-2017-0459、CVE-2017-0531 | 中 | あり |
| MediaTek ビデオ コーデック ドライバでの情報開示の脆弱性 | CVE-2017-0532 | 中 | なし* |
| Qualcomm ビデオドライバでの情報開示の脆弱性 | CVE-2017-0533、CVE-2017-0534、CVE-2016-8416、CVE-2016-8478 | 中 | あり |
| Qualcomm カメラドライバでの情報開示の脆弱性 | CVE-2016-8413、CVE-2016-8477 | 中 | あり |
| HTC サウンド コーデック ドライバでの情報開示の脆弱性 | CVE-2017-0535 | 中 | あり |
| Synaptics タッチスクリーン ドライバでの情報開示の脆弱性 | CVE-2017-0536 | 中 | あり |
| カーネル USB ガジェット ドライバでの情報開示の脆弱性 | CVE-2017-0537 | 中 | あり |
| Qualcomm カメラドライバでの情報開示の脆弱性 | CVE-2017-0452 | 低 | あり |
* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。
上記のセキュリティ パッチ レベル 2017-03-01 の脆弱性の概要で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
OpenSSL と BoringSSL にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。特権プロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は重大と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2182 | A-32096880 | 重大 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 8 月 5 日 |
メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0466 | A-33139050 [2] | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 25 日 |
| CVE-2017-0467 | A-33250932 [2] | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 30 日 |
| CVE-2017-0468 | A-33351708 [2] | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 5 日 |
| CVE-2017-0469 | A-33450635 | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 8 日 |
| CVE-2017-0470 | A-33818500 | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 21 日 |
| CVE-2017-0471 | A-33816782 | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 21 日 |
| CVE-2017-0472 | A-33862021 | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 23 日 |
| CVE-2017-0473 | A-33982658 | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 30 日 |
| CVE-2017-0474 | A-32589224 | 重大 | すべて | 7.0、7.1.1 | Google 社内 |
リカバリ ベリファイアに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0475 | A-31914369 | 重大 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 2 日 |
AOSP メッセージにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。権限のないプロセス内でリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0476 | A-33388925 | 高 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 6 日 |
libgdx にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、権限のないプロセス内で任意のコードを実行するおそれがあります。このライブラリを使用するアプリでリモートコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0477 | A-33621647 | 高 | すべて | 7.1.1 | 2016 年 12 月 14 日 |
Framesequence ライブラリにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、権限のないプロセス内で任意のコードを実行するおそれがあります。Framesequence ライブラリを使用するアプリでリモートコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0478 | A-33718716 | 高 | すべて | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 16 日 |
NFC に権限昇格の脆弱性があるため、近くにいる攻撃者によって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0481 | A-33434992 | 高 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 6 日 |
オーディオサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0479 | A-32707507 [2] | 高 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 7 日 |
| CVE-2017-0480 | A-32705429 [2] | 高 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 7 日 |
メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0482 | A-33090864 [2] [3] [4] [5] [6] | 高 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 22 日 |
| CVE-2017-0483 | A-33137046 [2] | 高 | すべて | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 24 日 |
| CVE-2017-0484 | A-33298089 [2] | 高 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 1 日 |
| CVE-2017-0485 | A-33387820 | 高 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 6 日 |
| CVE-2017-0486 | A-33621215 | 高 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 14 日 |
| CVE-2017-0487 | A-33751193 | 高 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 19 日 |
| CVE-2017-0488 | A-34097213 | 高 | すべて | 6.0、6.0.1、7.0、7.1.1 | Google 社内 |
ロケーション マネージャに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、位置情報に対するオペレーティング システムの保護が回避されるおそれがあります。不正確なデータの生成に利用されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0489 | A-33091107 | 中 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 20 日 |
Wi-Fi に権限昇格の脆弱性があるため、悪意のあるローカルアプリによってユーザーデータが削除されるおそれがあります。ユーザー操作の要件(通常はユーザーによる操作か許可が必要)がローカルで回避されるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0490 | A-33178389 [2] [3] | 中 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 25 日 |
パッケージ マネージャに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、ユーザーによるアプリのアンインストールやアプリの権限の削除が阻止されるおそれがあります。ユーザー操作の要件がローカルで回避されるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0491 | A-32553261 | 中 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | Google 社内 |
システム UI に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、画面全体を覆う UI オーバーレイが作成されるおそれがあります。ユーザー操作の要件(通常はユーザーによる操作か許可が必要)がローカルで回避されるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0492 | A-30150688 | 中 | すべて | 7.1.1 | Google 社内 |
AOSP メッセージに情報開示の脆弱性があるため、リモートの攻撃者が特別に細工したファイルを使用して、権限レベルの範囲外のデータにアクセスするおそれがあります。許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0494 | A-32764144 | 中 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 11 月 9 日 |
メディアサーバーに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0495 | A-33552073 | 中 | すべて | 6.0、6.0.1、7.0、7.1.1 | 2016 年 12 月 11 日 |
セットアップ ウィザードにサービス拒否の脆弱性があり、悪意のあるローカルアプリが攻撃対象の端末へのアクセスを一時的にブロックできるおそれがあります。端末を修復するにはデータの初期化が必要になる可能性があるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0496 | A-31554152* | 中 | なし** | 5.0.2、5.1.1、6.0、6.0.1 | 2016 年 9 月 14 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。
** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。一般的でない端末設定が必要なため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0497 | A-33300701 | 中 | すべて | 7.0、7.1.1 | 2016 年 12 月 2 日 |
セットアップ ウィザードにサービス拒否の脆弱性があるため、ローカルの攻撃者によって、データの初期化後に Google アカウントへのログインが要求されるおそれがあります。端末を修復するにはデータの初期化が必要になる可能性があるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0498 | A-30352311 [2] | 中 | すべて | 5.1.1、6.0、6.0.1、7.0、7.1.1 | Google 社内 |
オーディオサーバーにサービス拒否の脆弱性があるため、悪意のあるローカルアプリが端末のハングや再起動を引き起こすおそれがあります。一時的なサービス拒否のおそれがあるため、この問題の重大度は「低」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0499 | A-32095713 | 低 | すべて | 5.1.1、6.0、6.0.1、7.0、7.1.1 | 2016 年 10 月 11 日 |
上記のセキュリティ パッチ レベル 2017-03-05 の脆弱性の概要で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
M4U ドライバ、サウンド ドライバ、タッチスクリーン ドライバ、GPU ドライバ、コマンドキュー ドライバなどの MediaTek コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0500 | A-28429685* M-ALPS02710006 |
重大 | なし** | 2016 年 4 月 27 日 |
| CVE-2017-0501 | A-28430015* M-ALPS02708983 |
重大 | なし** | 2016 年 4 月 27 日 |
| CVE-2017-0502 | A-28430164* M-ALPS02710027 |
重大 | なし** | 2016 年 4 月 27 日 |
| CVE-2017-0503 | A-28449045* M-ALPS02710075 |
重大 | なし** | 2016 年 4 月 28 日 |
| CVE-2017-0504 | A-30074628* M-ALPS02829371 |
重大 | なし** | 2016 年 7 月 9 日 |
| CVE-2017-0505 | A-31822282* M-ALPS02992041 |
重大 | なし** | 2016 年 9 月 28 日 |
| CVE-2017-0506 | A-32276718* M-ALPS03006904 |
重大 | なし** | 2016 年 10 月 18 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0337 | A-31992762* N-CVE-2017-0337 |
重大 | Pixel C | 2016 年 10 月 6 日 |
| CVE-2017-0338 | A-33057977* N-CVE-2017-0338 |
重大 | Pixel C | 2016 年 11 月 21 日 |
| CVE-2017-0333 | A-33899363* N-CVE-2017-0333 |
重大 | Pixel C | 2016 年 12 月 25 日 |
| CVE-2017-0306 | A-34132950* N-CVE-2017-0306 |
重大 | Nexus 9 | 2017 年 1 月 6 日 |
| CVE-2017-0335 | A-33043375* N-CVE-2017-0335 |
重大 | Pixel C | Google 社内 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
カーネル ION サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0507 | A-31992382* | 重大 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL | 2016 年 10 月 6 日 |
| CVE-2017-0508 | A-33940449* | 重大 | Pixel C | 2016 年 12 月 28 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Broadcom Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0509 | A-32124445* B-RB#110688 |
重大 | なし** | 2016 年 10 月 12 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
カーネル FIQ デバッガに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0510 | A-32402555* | 重大 | Nexus 9 | 2016 年 10 月 25 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-8479 | A-31824853* QC-CR#1093687 |
重大 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL | 2016 年 9 月 29 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
カーネル ネットワーク サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-9806 | A-33393474 アップストリーム カーネル |
重大 | Pixel C、Pixel、Pixel XL | 2016 年 12 月 4 日 |
| CVE-2016-10200 | A-33753815 アップストリーム カーネル |
重大 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 12 月 19 日 |
下記の表に Qualcomm コンポーネントに影響する脆弱性を示します。詳細については、Qualcomm AMSS の 2016 年 9 月のセキュリティに関する公開情報をご覧ください。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-8484 | A-28823575** | 重大 | なし*** | Qualcomm 社内 |
| CVE-2016-8485 | A-28823681** | 重大 | なし*** | Qualcomm 社内 |
| CVE-2016-8486 | A-28823691** | 重大 | なし*** | Qualcomm 社内 |
| CVE-2016-8487 | A-28823724** | 重大 | なし*** | Qualcomm 社内 |
| CVE-2016-8488 | A-31625756** | 重大 | なし*** | Qualcomm 社内 |
* この一連の問題の重大度はベンダーが決定したものです。
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
*** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
カーネル ネットワーク サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-8655 | A-33358926 アップストリーム カーネル |
高 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL | 2016 年 10 月 12 日 |
| CVE-2016-9793 | A-33363517 アップストリーム カーネル |
高 | Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL | 2016 年 12 月 2 日 |
Qualcomm 入力ハードウェア ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0516 | A-32341680* QC-CR#1096301 |
高 | Android One、Pixel、Pixel XL | 2016 年 10 月 21 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
MediaTek ハードウェア センサー ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0517 | A-32372051* M-ALPS02973195 |
高 | なし** | 2016 年 10 月 22 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm ADSPRPC ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0457 | A-31695439* QC-CR#1086123 QC-CR#1100695 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 9 月 22 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm 指紋認証センサー ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0518 | A-32370896* QC-CR#1086530 |
高 | Pixel、Pixel XL | 2016 年 10 月 24 日 |
| CVE-2017-0519 | A-32372915* QC-CR#1086530 |
高 | Pixel、Pixel XL | 2016 年 10 月 24 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm crypto エンジン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0520 | A-31750232 QC-CR#1082636 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 9 月 24 日 |
Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0458 | A-32588962 QC-CR#1089433 |
高 | Pixel、Pixel XL | 2016 年 10 月 31 日 |
| CVE-2017-0521 | A-32919951 QC-CR#1097709 |
高 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 15 日 |
MediaTek APK に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。特権プロセスで任意のコードがローカルに実行されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0522 | A-32916158* M-ALPS03032516 |
高 | なし** | 2016 年 11 月 15 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0464 | A-32940193 QC-CR#1102593 |
高 | Nexus 5X、Pixel、Pixel XL | 2016 年 11 月 15 日 |
| CVE-2017-0453 | A-33979145 QC-CR#1105085 |
高 | Nexus 5X、Android One | 2016 年 12 月 30 日 |
| CVE-2017-0523 | A-32835279 QC-CR#1096945 |
高 | なし* | Google 社内 |
* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Synaptics タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0524 | A-33002026 | 高 | Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL | 2016 年 11 月 18 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm IPA ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0456 | A-33106520* QC-CR#1099598 |
高 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 23 日 |
| CVE-2017-0525 | A-33139056* QC-CR#1097714 |
高 | Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 25 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
HTC センサーハブ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0526 | A-33897738* | 高 | Nexus 9 | 2016 年 12 月 25 日 |
| CVE-2017-0527 | A-33899318* | 高 | Nexus 9、Pixel、Pixel XL | 2016 年 12 月 25 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0307 | A-33177895* N-CVE-2017-0307 |
高 | なし** | 2016 年 11 月 28 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm ネットワーク ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0463 | A-33277611 QC-CR#1101792 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 30 日 |
| CVE-2017-0460 | A-31252965* QC-CR#1098801 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL | Google 社内 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
カーネル セキュリティ サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内でコードが実行されるおそれがあります。カーネルレベルの多重防御または悪用対策技術を迂回する一般的な方法であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0528 | A-33351919* | 高 | Pixel、Pixel XL | 2016 年 12 月 4 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm SPCom ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-5856 | A-32610665 QC-CR#1094078 |
高 | なし* | Google 社内 |
| CVE-2016-5857 | A-34386529 QC-CR#1094140 |
高 | なし* | Google 社内 |
* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
カーネル ネットワーク サブシステムに情報開示の脆弱性があるため、端末の近くにいる攻撃者が機密情報にアクセスするおそれがあります。許可を得ずにデータにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2014-8709 | A-34077221 アップストリーム カーネル |
高 | Nexus Player | 2014 年 11 月 9 日 |
MediaTek ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0529 | A-28449427* M-ALPS02710042 |
高 | なし** | 2016 年 4 月 27 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm ブートローダーに情報開示の脆弱性があるため、悪意のあるローカルアプリによってブートローダー内で任意のコードが実行されるおそれがあります。ブートローダー レベルの多重防御または悪用対策技術を迂回する一般的な方法であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0455 | A-32370952 QC-CR#1082755 |
高 | Pixel、Pixel XL | 2016 年 10 月 21 日 |
Qualcomm 電源ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-8483 | A-33745862 QC-CR#1035099 |
高 | Nexus 5X、Nexus 6P | 2016 年 12 月 19 日 |
NVIDIA GPU ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0334 | A-33245849* N-CVE-2017-0334 |
高 | Pixel C | 2016 年 11 月 30 日 |
| CVE-2017-0336 | A-33042679* N-CVE-2017-0336 |
高 | Pixel C | Google 社内 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
カーネル暗号化サブシステムにサービス拒否の脆弱性があるため、リモートの攻撃者が特別に細工したネットワーク パケットを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-8650 | A-33401771 アップストリーム カーネル |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 10 月 12 日 |
Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であり、現在のプラットフォーム構成によってリスクが軽減されているため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-8417 | A-32342399 QC-CR#1088824 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 10 月 21 日 |
Qualcomm Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0461 | A-32073794 QC-CR#1100132 |
中 | Android One、Nexus 5X、Pixel、Pixel XL | 2016 年 10 月 9 日 |
| CVE-2017-0459 | A-32644895 QC-CR#1091939 |
中 | Pixel、Pixel XL | 2016 年 11 月 3 日 |
| CVE-2017-0531 | A-32877245 QC-CR#1087469 |
中 | Android One、Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 11 月 13 日 |
MediaTek ビデオ コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0532 | A-32370398* M-ALPS03069985 |
中 | なし** | 2016 年 10 月 22 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm ビデオドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0533 | A-32509422 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 27 日 |
| CVE-2017-0534 | A-32508732 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 28 日 |
| CVE-2016-8416 | A-32510746 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 28 日 |
| CVE-2016-8478 | A-32511270 QC-CR#1088206 |
中 | Pixel、Pixel XL | 2016 年 10 月 28 日 |
Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-8413 | A-32709702 QC-CR#518731 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 4 日 |
| CVE-2016-8477 | A-32720522 QC-CR#1090007 [2] |
中 | Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL | 2016 年 11 月 7 日 |
HTC サウンド コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0535 | A-33547247* | 中 | Nexus 9 | 2016 年 12 月 11 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Synaptics タッチスクリーン ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0536 | A-33555878* | 中 | Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL | 2016 年 12 月 12 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
カーネル USB ガジェット ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0537 | A-31614969* | 中 | Pixel C | Google 社内 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「低」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0452 | A-32873615* QC-CR#1093693 |
低 | Nexus 5X、Nexus 6P、Android One | 2016 年 11 月 10 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
上記の公開情報に対する一般的な質問について、以下で回答します。
1. 上記の問題に対処するように端末が更新されているかどうかをどのように判断すればよいですか?
端末のセキュリティ パッチ レベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。
このアップデートを組み込んだ端末メーカーは、パッチレベル文字列を以下に設定する必要があります。
2. この公開情報に 2 つのセキュリティ パッチ レベルがあるのはなぜですか?
この公開情報では、2 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。
パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。
3. 各問題の影響を受ける Google 端末を判断するにはどうすればよいですか?
2017-03-01 と 2017-03-05 のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google 端末」列に、その問題の影響を受ける、更新対象の Google 端末の種類を記載しています。この列には次のいずれかが表示されています。
4. 「参照」列の項目はどのような情報に関連付けられていますか?
脆弱性の詳細の表で「参照」列に記載した内容には、その参照番号が属す組織を示す接頭辞を含めている場合があります。各接頭辞の意味は以下のとおりです。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
| QC- | Qualcomm の参照番号 |
| M- | MediaTek の参照番号 |
| N- | NVIDIA の参照番号 |
| B- | Broadcom の参照番号 |