2017 年 5 月 1 日公開 | 2017 年 5 月 2 日更新
Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも Google デベロッパー サイトでリリースしています。2017 年 5 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、Pixel と Nexus のアップデート スケジュールをご覧ください。
パートナーには、この公開情報に記載の問題について 2017 年 4 月 3 日までに通知済みです。Android オープンソース プロジェクト(AOSP)のレポジトリに、下記の問題に対するソースコードのパッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。
下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の判定は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的で無効にされるか不正に回避された場合を前提としています。
この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。Android セキュリティ プラットフォームの保護や SafetyNet のようなサービスの保護について詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。
ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。
パッチレベル 2017-05-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0587 | A-35219737 | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 4 日 |
| CVE-2017-0588 | A-34618607 | 重大 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 21 日 |
| CVE-2017-0589 | A-34897036 | 重大 | すべて | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 1 日 |
| CVE-2017-0590 | A-35039946 | 重大 | すべて | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 6 日 |
| CVE-2017-0591 | A-34097672 | 重大 | すべて | 6.0、6.0.1、7.0、7.1.1、7.1.2 | Google 社内 |
| CVE-2017-0592 | A-34970788 | 重大 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | Google 社内 |
フレームワーク API に権限昇格の脆弱性があるため、悪意のあるローカルアプリがカスタム権限にアクセスできるおそれがあります。アプリデータを別のアプリから分離するオペレーティング システムの保護を回避する一般的な方法となるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0593 | A-34114230 | 高 | すべて | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 5 日 |
メディアサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスすることに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0594 | A-34617444 | 高 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 22 日 |
| CVE-2017-0595 | A-34705519 | 高 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2017 年 1 月 24 日 |
| CVE-2017-0596 | A-34749392 | 高 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 | 2017 年 1 月 24 日 |
オーディオサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0597 | A-34749571 | 高 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 25 日 |
フレームワーク API に情報開示の脆弱性があるため、悪意のあるローカルアプリが、アプリデータを他のアプリから分離するオペレーティング システムの保護を回避するおそれがあります。アプリがアクセス権限のないデータにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0598 | A-34128677 [2] | 高 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 6 日 |
メディアサーバーにリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否の可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0599 | A-34672748 | 高 | すべて | 6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 1 月 23 日 |
| CVE-2017-0600 | A-35269635 | 高 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 10 日 |
Bluetooth に権限昇格の脆弱性があるため、悪意のあるローカルアプリが Bluetooth を経由してユーザーの許可なしに有害なファイルを受け取るおそれがあります。ユーザー操作の要件がローカルで回避されるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0601 | A-35258579 | 中 | すべて | 7.0、7.1.1、7.1.2 | 2017 年 2 月 9 日 |
ファイルベースの暗号化に情報開示の脆弱性があるため、悪意のあるローカルの攻撃者が、ロック画面のオペレーティング システムの保護を回避するおそれがあります。ロック画面が回避されるおそれがあるため、この問題の重大度は「中」と判断されています
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0493 | A-32793550 [2] | 中 | すべて | 7.0、7.1.1 | 2016 年 11 月 9 日 |
Bluetooth に情報開示の脆弱性があるため、悪意のあるローカルアプリが、アプリデータを他のアプリから分離するオペレーティング システムの保護を回避するおそれがあります。この脆弱性に固有の詳細情報から、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0602 | A-34946955 | 中 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2016 年 12 月 5 日 |
OpenSSL と BoringSSL に情報開示の脆弱性があり、リモートの攻撃者が機密情報にアクセスできるおそれがあります。この脆弱性に固有の詳細情報から、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-7056 | A-33752052 | 中 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2016 年 12 月 19 日 |
メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。一般的でない端末設定が必要なため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0603 | A-35763994 | 中 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2017 年 2 月 23 日 |
メディアサーバーにリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。この脆弱性に固有の詳細情報から、この問題の重大度は「低」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2017-0635 | A-35467107 | 低 | すべて | 7.0、7.1.1、7.1.2 | 2017 年 2 月 16 日 |
パッチレベル 2017-05-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
GIFLIB にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2015-7555 | A-34697653 | 重大 | すべて | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 | 2016 年 4 月 13 日 |
MediaTek タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10274 | A-30202412* M-ALPS02897901 |
重大 | なし** | 2016 年 7 月 16 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10275 | A-34514954 QC-CR#1009111 |
重大 | Nexus 5X、Nexus 6、Pixel、Pixel XL、Android One | 2016 年 9 月 13 日 |
| CVE-2016-10276 | A-32952839 QC-CR#1094105 |
重大 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 11 月 16 日 |
カーネル サウンド サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-9794 | A-34068036 アップストリーム カーネル |
重大 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | 2016 年 12 月 3 日 |
Motorola ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってブートローダー内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10277 | A-33840490* |
重大 | Nexus 6 | 2016 年 12 月 21 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0331 | A-34113000* N-CVE-2017-0331 |
重大 | Nexus 9 | 2017 年 1 月 4 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
カーネルの Qualcomm 電源ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0604 | A-35392981 QC-CR#826589 |
重大 | なし* | 2017 年 2 月 15 日 |
* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
カーネル トレース サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0605 | A-35399704 QC-CR#1048480 |
重大 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | 2017 年 2 月 15 日 |
Qualcomm コンポーネントに影響する脆弱性は次のとおりです。詳細については、Qualcomm AMSS の 2016 年 8 月、9 月、10 月、12 月のセキュリティに関する公開情報をご覧ください。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10240 | A-32578446** QC-CR#955710 |
重大 | Nexus 6P | Qualcomm 社内 |
| CVE-2016-10241 | A-35436149** QC-CR#1068577 |
重大 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL | Qualcomm 社内 |
| CVE-2016-10278 | A-31624008** QC-CR#1043004 |
高 | Pixel、Pixel XL | Qualcomm 社内 |
| CVE-2016-10279 | A-31624421** QC-CR#1031821 |
高 | Pixel、Pixel XL | Qualcomm 社内 |
* この一連の問題の重大度はベンダーが決定したものです。
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
*** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
libxml2 にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、非特権プロセス内で任意のコードを実行するおそれがあります。このライブラリを使用するアプリでリモートコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-5131 | A-32956747* | 高 | なし** | 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 | 2016 年 7 月 23 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
MediaTek サーマル ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10280 | A-28175767* M-ALPS02696445 |
高 | なし** | 2016 年 4 月 11 日 |
| CVE-2016-10281 | A-28175647* M-ALPS02696475 |
高 | なし** | 2016 年 4 月 11 日 |
| CVE-2016-10282 | A-33939045* M-ALPS03149189 |
高 | なし** | 2016 年 12 月 27 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10283 | A-32094986 QC-CR#2002052 |
高 | Nexus 5X、Pixel、Pixel XL、Android One | 2016 年 10 月 11 日 |
Qualcomm ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10284 | A-32402303* QC-CR#2000664 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 10 月 24 日 |
| CVE-2016-10285 | A-33752702 QC-CR#1104899 |
高 | Pixel、Pixel XL | 2016 年 12 月 19 日 |
| CVE-2016-10286 | A-35400904 QC-CR#1090237 |
高 | Pixel、Pixel XL | 2017 年 2 月 15 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
カーネル パフォーマンス サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2015-9004 | A-34515362 アップストリーム カーネル |
高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | 2016 年 11 月 23 日 |
Qualcomm サウンド ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10287 | A-33784446 QC-CR#1112751 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 20 日 |
| CVE-2017-0606 | A-34088848 QC-CR#1116015 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 1 月 3 日 |
| CVE-2016-5860 | A-34623424 QC-CR#1100682 |
高 | Pixel、Pixel XL | 2017 年 1 月 22 日 |
| CVE-2016-5867 | A-35400602 QC-CR#1095947 |
高 | なし* | 2017 年 2 月 15 日 |
| CVE-2017-0607 | A-35400551 QC-CR#1085928 |
高 | Pixel、Pixel XL | 2017 年 2 月 15 日 |
| CVE-2017-0608 | A-35400458 QC-CR#1098363 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2017-0609 | A-35399801 QC-CR#1090482 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2016-5859 | A-35399758 QC-CR#1096672 |
高 | なし* | 2017 年 2 月 15 日 |
| CVE-2017-0610 | A-35399404 QC-CR#1094852 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2017-0611 | A-35393841 QC-CR#1084210 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2016-5853 | A-35392629 QC-CR#1102987 |
高 | なし* | 2017 年 2 月 15 日 |
* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm LED ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10288 | A-33863909 QC-CR#1109763 |
高 | Pixel、Pixel XL | 2016 年 12 月 23 日 |
Qualcomm crypto ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10289 | A-33899710 QC-CR#1116295 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 24 日 |
Qualcomm 共有メモリドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10290 | A-33898330 QC-CR#1109782 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 12 月 24 日 |
Qualcomm Slimbus ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10291 | A-34030871 QC-CR#986837 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Android One | 2016 年 12 月 31 日 |
Qualcomm ADSPRPC ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0465 | A-34112914 QC-CR#1110747 |
高 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 1 月 5 日 |
Qualcomm Secure Execution Environment Communicator ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0612 | A-34389303 QC-CR#1061845 |
高 | Pixel、Pixel XL | 2017 年 1 月 10 日 |
| CVE-2017-0613 | A-35400457 QC-CR#1086140 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
| CVE-2017-0614 | A-35399405 QC-CR#1080290 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
MediaTek 電源ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0615 | A-34259126* M-ALPS03150278 |
高 | なし** | 2017 年 1 月 12 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
MediaTek システム管理割り込みドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0616 | A-34470286* M-ALPS03149160 |
高 | なし** | 2017 年 1 月 19 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
MediaTek ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0617 | A-34471002* M-ALPS03149173 |
高 | なし** | 2017 年 1 月 19 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
MediaTek コマンドキュー ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0618 | A-35100728* M-ALPS03161536 |
高 | なし** | 2017 年 2 月 7 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm ピン コントローラ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0619 | A-35401152 QC-CR#826566 |
高 | Nexus 6、Android One | 2017 年 2 月 15 日 |
Qualcomm Secure Channel Manager ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0620 | A-35401052 QC-CR#1081711 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm サウンド コーデック ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-5862 | A-35399803 QC-CR#1099607 |
高 | Pixel、Pixel XL | 2017 年 2 月 15 日 |
カーネルの電圧レギュレータ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2014-9940 | A-35399757 アップストリーム カーネル |
高 | Nexus 6、Nexus 9、Pixel C、Android One、Nexus Player | 2017 年 2 月 15 日 |
Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0621 | A-35399703 QC-CR#831322 |
高 | Android One | 2017 年 2 月 15 日 |
Qualcomm ネットワーク ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-5868 | A-35392791 QC-CR#1104431 |
高 | Nexus 5X、Pixel、Pixel XL | 2017 年 2 月 15 日 |
カーネル ネットワーク サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-7184 | A-36565222 アップストリーム カーネル [2] |
高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Android One | 2017 年 5 月 23 日 |
Goodix タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0622 | A-32749036 QC-CR#1098602 |
高 | Android One | Google 社内 |
HTC ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってブートローダー内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0623 | A-32512358* |
高 | Pixel、Pixel XL | Google 社内 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスすることに利用される可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0624 | A-34327795* QC-CR#2005832 |
高 | Nexus 5X、Pixel、Pixel XL | 2017 年 1 月 16 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
MediaTek コマンドキュー ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスすることに利用される可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0625 | A-35142799* M-ALPS03161531 |
高 | なし** | 2017 年 2 月 8 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm crypto エンジン ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスすることに利用される可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0626 | A-35393124 QC-CR#1088050 |
高 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm Wi-Fi ドライバにサービス拒否の脆弱性があるため、近くにいる攻撃者が Wi-Fi サブシステムでサービス拒否を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10292 | A-34514463* QC-CR#1065466 |
高 | Nexus 5X、Pixel、Pixel XL | 2016 年 12 月 16 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
カーネル UVC ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0627 | A-33300353* |
中 | Nexus 5X、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2016 年 12 月 2 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm ビデオドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10293 | A-33352393 QC-CR#1101943 |
中 | Nexus 5X、Nexus 6P、Android One | 2016 年 12 月 4 日 |
Qualcomm 電源ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10294 | A-33621829 QC-CR#1105481 |
中 | Nexus 5X、Nexus 6P、Pixel、Pixel XL | 2016 年 12 月 14 日 |
Qualcomm LED ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10295 | A-33781694 QC-CR#1109326 |
中 | Pixel、Pixel XL | 2016 年 12 月 20 日 |
Qualcomm 共有メモリドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-10296 | A-33845464 QC-CR#1109782 |
中 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2016 年 12 月 22 日 |
Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0628 | A-34230377 QC-CR#1086833 |
中 | Nexus 5X、Nexus 6、Pixel、Pixel XL | 2017 年 1 月 10 日 |
| CVE-2017-0629 | A-35214296 QC-CR#1086833 |
中 | Nexus 5X、Nexus 6、Pixel、Pixel XL | 2017 年 2 月 8 日 |
カーネル トレース サブシステムに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0630 | A-34277115* |
中 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player | 2017 年 1 月 11 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm サウンド コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-5858 | A-35400153 QC-CR#1096799 [2] |
中 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0631 | A-35399756 QC-CR#1093232 |
中 | Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm サウンド ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-5347 | A-35394329 QC-CR#1100878 |
中 | Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One | 2017 年 2 月 15 日 |
Qualcomm SPCom ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2016-5854 | A-35392792 QC-CR#1092683 |
中 | なし* | 2017 年 2 月 15 日 |
| CVE-2016-5855 | A-35393081 QC-CR#1094143 |
中 | なし* | 2017 年 2 月 15 日 |
* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
Qualcomm サウンド コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0632 | A-35392586 QC-CR#832915 |
中 | Android One | 2017 年 2 月 15 日 |
Broadcom Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカル コンポーネントが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0633 | A-36000515* B-RB#117131 |
中 | Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player | 2017 年 2 月 23 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Synaptics タッチスクリーン ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2017-0634 | A-32511682* |
中 | Pixel、Pixel XL | Google 社内 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
Qualcomm コンポーネントに影響する次の脆弱性は、2014~2016 年に Qualcomm AMSS のセキュリティに関する公開情報としてリリースされたものです。これらは Android のセキュリティ パッチ レベルとの関連付けのため、今回の「Android のセキュリティに関する公開情報」に追記されています。
| CVE | 参照 | 重大度 | 更新対象の Google 端末 | 報告日 |
|---|---|---|---|---|
| CVE-2014-9923 | A-35434045** QC-CR#403910 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2014-9924 | A-35434631** QC-CR#596102 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2014-9925 | A-35444657** QC-CR#638130 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2014-9926 | A-35433784** QC-CR#631527 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2014-9927 | A-35433785** QC-CR#661111 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2014-9928 | A-35438623** QC-CR#696972 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2014-9929 | A-35443954** QC-CR#644783 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2014-9930 | A-35432946** QC-CR#634637 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2015-9005 | A-36393500** QC-CR#741548 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2015-9006 | A-36393450** QC-CR#750559 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2015-9007 | A-36393700** QC-CR#807173 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2016-10297 | A-36393451** QC-CR#1061123 |
重大 | なし*** | Qualcomm 社内 |
| CVE-2014-9941 | A-36385125** QC-CR#509915 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9942 | A-36385319** QC-CR#533283 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9943 | A-36385219** QC-CR#546527 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9944 | A-36384534** QC-CR#613175 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9945 | A-36386912** QC-CR#623452 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9946 | A-36385281** QC-CR#520149 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9947 | A-36392400** QC-CR#650540 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9948 | A-36385126** QC-CR#650500 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9949 | A-36390608** QC-CR#652426 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9950 | A-36385321** QC-CR#655530 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9951 | A-36389161** QC-CR#525043 |
高 | なし*** | Qualcomm 社内 |
| CVE-2014-9952 | A-36387019** QC-CR#674836 |
高 | なし*** | Qualcomm 社内 |
* この一連の問題の重大度はベンダーが決定したものです。
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。
*** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
上記の公開情報に対する一般的な質問について、以下で回答します。
1. 上記の問題に対処するように端末が更新されているかどうかをどのように判断すればよいですか?
端末のセキュリティ パッチ レベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。
このアップデートを組み込んだ端末メーカーは、パッチレベル文字列を以下に設定する必要があります。
2. この公開情報に 2 つのセキュリティ パッチ レベルがあるのはなぜですか?
この公開情報では、2 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。
パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。
3. 各問題の影響を受ける Google 端末を判断するにはどうすればよいですか?
2017-05-01 と 2017-05-05 のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google 端末」列に、その問題の影響を受ける、更新対象の Google 端末の種類を記載しています。この列には次のいずれかが表示されています。
4. 「参照」列の項目はどのような情報に関連付けられていますか?
脆弱性の詳細の表で「参照」列に記載した内容には、その参照番号が属す組織を示す接頭辞を含めている場合があります。各接頭辞の意味は以下のとおりです。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
| QC- | Qualcomm の参照番号 |
| M- | MediaTek の参照番号 |
| N- | NVIDIA の参照番号 |
| B- | Broadcom の参照番号 |