2015 年 12 月 7 日公開 | 2016 年 3 月 7 日更新
Android のセキュリティに関する月例情報公開の一環として、Nexus デバイスに対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。 Nexus ファームウェア イメージも Google デベロッパー サイトにリリースされています。 LMY48Z 以降のビルド、および Android 6.0(セキュリティ パッチレベルが 2015 年 12 月 1 日以降)で上記の問題に対処しています。詳しくは、一般的な質問と回答をご覧ください。
パートナーには下記の問題について 2015 年 11 月 2 日までに通知し、アップデートを提供済みです。該当する場合、下記の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)レポジトリにリリースされています。
下記の問題のうち最も重大度の高い脆弱性では、多様な方法(メール、ウェブの閲覧、MMS など)により脆弱なデバイスでメディア ファイルを処理する際に、リモートでのコード実行が可能になるおそれがあります。重大度の評価は、対象デバイスで脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。
この新たに報告された問題によって実際のユーザー デバイスが不正使用された報告はありません。Android セキュリティ プラットフォームの保護や SafetyNet のようなサービスの保護について詳しくは、下記のリスクの軽減をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。ご利用のデバイスでは、上記の更新を行うことをすべてのユーザーにおすすめします。
リスクの軽減
ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
- Android 上の多くの問題の悪用は、Android プラットフォームの最新版で機能が強化されるほど困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
- Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しています。こうした機能は、有害な可能性があるアプリがインストールされる前に警告します。デバイスの root 権限を取得するツールは Google Play では禁止されています。Google Play 以外からアプリをインストールするユーザーを保護するため、「アプリの確認」はデフォルトで有効になっており、既知の root 権限取得アプリについてユーザーに警告します。「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、そのアプリの削除を試みます。
- Google ハングアウトやメッセンジャーのアプリでは状況を適宜判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。
謝辞
調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。
- Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2015-6616、CVE-2015-6617、CVE-2015-6623、CVE-2015-6626、CVE-2015-6619、CVE-2015-6633、CVE-2015-6634
- KeenTeam(@K33nTeam)の Flanker(@flanker_hqd): CVE-2015-6620
- Qihoo 360 Technology Co.Ltd の Guang Gong(龚广)(@oldfresher、higongguang@gmail.com): CVE-2015-6626
- EmberMitre Ltd の Mark Carter(@hanpingchinese): CVE-2015-6630
- Michał Bednarski(https://github.com/michalbednarski): CVE-2015-6621
- Google Project Zero の Natalie Silvanovich: CVE-2015-6616
- Trend Micro の Peter Pi: CVE-2015-6616、CVE-2015-6628
- KeenTeam(@K33nTeam)の Qidan He(@flanker_hqd)、Marco Grassi(@marcograss): CVE-2015-6622
- Tzu-Yin(Nina)Tai: CVE-2015-6627
- Fundación Dr. Manuel Sadosky(アルゼンチン、ブエノスアイレス)Programa STIC の Joaquín Rinaudo(@xeroxnir): CVE-2015-6631
- Baidu X-Team の Wangtao(neobyte): CVE-2015-6626
セキュリティの脆弱性の詳細
パッチレベル 2015-12-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連するバグ、重大度、更新対象のバージョン、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した AOSP での変更へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の AOSP リファレンスへのリンクを示します。
メディアサーバーでのリモートコード実行の脆弱性
特別に細工されたメディア ファイルやデータのメディアサーバーでの処理中に、攻撃者がメディアサーバーの脆弱性を悪用して、メモリ破壊やリモートコード実行を行うおそれがあります。
影響を受ける機能はオペレーティング システムの中核部分として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
メディアサーバーのサービスにおいてリモートでコードが実行されるおそれがあるため、この問題の重大度は「重大」と判断されています。メディアサーバーのサービスは音声や動画のストリームにアクセスできるほか、通常はサードパーティ製アプリがアクセスできないような権限にアクセスできます。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | 重大 | 6.0 以下 | Google 社内 |
| ANDROID-23882800 | 重大 | 6.0 以下 | Google 社内 | |
| ANDROID-17769851 | 重大 | 5.1 以下 | Google 社内 | |
| ANDROID-24441553 | 重大 | 6.0 以下 | 2015 年 9 月 22 日 | |
| ANDROID-24157524 | 重大 | 6.0 | 2015 年 9 月 8 日 |
Skia でのリモートコード実行の脆弱性
Skia コンポーネントに脆弱性があり、特別に細工されたメディア ファイルの処理中に悪用されて、特権プロセスでのメモリ破壊やリモートコード実行につながるおそれがあります。メディア ファイルの処理中に、メール、ウェブの閲覧、MMS などの複数の攻撃方法によりリモートコード実行が可能になるため、この問題の重大度は「重大」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | 重大 | 6.0 以下 | Google 社内 |
カーネルでの権限昇格
システム カーネルの権限昇格の脆弱性により、デバイスのルート内で悪意のあるローカルアプリが任意コードを実行できるおそれがあります。ローカルでの永久的なデバイスの侵害につながり、オペレーティング システムの再適用によってしかデバイスを修復できなくなる可能性があるため、この問題は「重大」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | 重大 | 6.0 以下 | 2015 年 6 月 7 日 |
ディスプレイ ドライバでのリモートコード実行の脆弱性
ディスプレイ ドライバに脆弱性があり、メディア ファイルの処理中に、メディアサーバーによって読み込まれたユーザーモード ドライバのコンテキスト内で、メモリが破壊されたり任意コードを実行されたりするおそれがあります。メディア ファイルの処理中に、メール、ウェブの閲覧、MMS などの複数の攻撃方法によりリモートコード実行が可能になるため、この問題の重大度は「重大」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | 重大 | 6.0 以下 | Google 社内 |
| CVE-2015-6634 | ANDROID-24163261 [2] [3] [4] | 重大 | 5.1 以下 | Google 社内 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
Bluetooth でのリモートコード実行の脆弱性
Android の Bluetooth コンポーネントに脆弱性があり、リモートコード実行が可能になるおそれがあります。ただし、この脆弱性を悪用するには複数の手順を手動で行う必要があります。これを行うためには、事前に Personal Area Network(PAN)プロファイルを(たとえば Bluetooth テザリングを使用して)有効にしてデバイスをペア設定したうえで、正常にペア設定されたもう一方のデバイスが必要となります。リモートコードは Bluetooth サービスの権限で実行されます。デバイスでこの脆弱性が問題となるのは、正常にペア設定されたもう一方のデバイスが近くにある場合のみです。
攻撃者が任意コードをリモートで実行するためには、事前にデバイス同士をペア設定して複数の手順を手動で踏んだうえで、デバイスの近くで操作を行う必要があるため、この問題の重大度は「高」と判断されています。
| CVE | バグ | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | 高 | 4.4、5.0、5.1 | 2015 年 9 月 28 日 |
*この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
libstagefright での権限昇格の脆弱性
libstagefright に複数の脆弱性があり、メディアサーバー サービスで悪意のあるローカルアプリが任意コードを実行できるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | 高 | 6.0 以下 | 2015 年 9 月 10 日 |
| ANDROID-24445127 | 高 | 6.0 以下 | 2015 年 9 月 2 日 |
SystemUI での権限昇格の脆弱性
時計アプリを使用してアラームを設定する際、SystemUI コンポーネントの脆弱性によって、アプリが不正に昇格させた権限を使ってタスクを実行できるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | 高 | 5.0、5.1、6.0 | 2015 年 9 月 7 日 |
ネイティブ フレームワーク ライブラリでの情報開示の脆弱性
Android のネイティブ フレームワーク ライブラリに情報開示の脆弱性があり、プラットフォームの不正利用を阻むためのセキュリティ対策が回避されるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | 高 | 6.0 以下 | 2015 年 9 月 7 日 |
Wi-Fi での権限昇格の脆弱性
Wi-Fi に権限昇格の脆弱性があり、昇格したシステム サービス内で悪意のあるローカルアプリが任意コードを実行できるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | 高 | 6.0 | Google 社内 |
System Server での権限昇格の脆弱性
System Server コンポーネントに権限昇格の脆弱性があり、悪意のあるローカルアプリがサービス関連の情報にアクセスできるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | 高 | 6.0 | Google 社内 |
libstagefright での情報開示の脆弱性
libstagefright に情報開示の脆弱性があり、メディアサーバーとの通信中に、プラットフォームの不正利用を阻むためのセキュリティ対策が回避されるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | 高 | 6.0 以下 | Google 社内 |
| CVE-2015-6626 | ANDROID-24310423 | 高 | 6.0 以下 | 2015 年 9 月 2 日 |
| CVE-2015-6631 | ANDROID-24623447 | 高 | 6.0 以下 | 2015 年 8 月 21 日 |
Audio での情報開示の脆弱性
Audio コンポーネントの脆弱性が、音声ファイルの処理中に悪用されるおそれがあります。特別に細工したファイルが処理される間に、悪意のあるローカルアプリによって情報が開示されるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | 高 | 6.0 以下 | Google 社内 |
メディア フレームワークでの情報開示の脆弱性
メディア フレームワークに情報開示の脆弱性があり、メディアサーバーとの通信中に、プラットフォームの不正利用を阻むためのセキュリティ対策が回避されるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれもあるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | 高 | 6.0 以下 | 2015 年 9 月 8 日 |
Wi-Fi での情報開示の脆弱性
Wi-Fi コンポーネントに脆弱性があり、Wi-Fi サービスで情報が不正開示されるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | 高 | 5.1 と 5.0 | Google 社内 |
System Server での権限昇格の脆弱性
System Server に権限昇格の脆弱性があり、悪意のあるローカルアプリが Wi-Fi サービス関連の情報にアクセスできるおそれがあります。「dangerous」権限を不正取得できるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | 中 | 6.0 | Google 社内 |
SystemUI での情報開示の脆弱性
SystemUI に情報開示の脆弱性があり、悪意のあるローカルアプリがスクリーンショットにアクセスできるおそれがあります。「dangerous」権限を不正取得できるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | バグと AOSP リンク | 重大度 | 更新対象のバージョン | 報告日 |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | 中 | 5.0、5.1、6.0 | 2015 年 1 月 22 日 |
一般的な質問と回答
上記の公開情報に対する一般的な質問について、以下で回答します。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
LMY48Z 以降のビルド、および Android 6.0(セキュリティ パッチレベルが 2015 年 12 月 1 日以降)で上記の問題に対処しています。セキュリティ パッチレベルを確認する方法について詳しくは、Nexus のドキュメントをご覧ください。このアップデートを含めたデバイス メーカーは、パッチ文字列のレベルを [ro.build.version.security_patch]:[2015-12-01] に設定する必要があります。
改訂
- 2015 年 12 月 7 日: 初公開
- 2015 年 12 月 9 日: 公開情報を改訂し AOSP リンクを追加
- 2015 年 12 月 22 日: 謝辞にクレジットを追加
- 2016 年 3 月 7 日: 謝辞にクレジットを追加