2016 年 8 月 1 日公開 | 2016 年 10 月 21 日更新
Android のセキュリティに関する公開情報には、Android デバイスに影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus デバイスに対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Nexus ファームウェア イメージも Google デベロッパー サイトにリリースされています。2016 年 8 月 5 日以降のセキュリティ パッチレベルで、以下の問題に対処しています。セキュリティ パッチレベルの確認方法については、こちらのドキュメントをご覧ください。
パートナーには、この公開情報に記載の問題について 2016 年 7 月 6 日までに通知済みです。該当する場合、以下の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)リポジトリにリリースされています。この公開情報には AOSP 以外のパッチへのリンクも掲載しています。
以下の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象のデバイスでメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の判定は、攻撃を受けたデバイスでその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が、開発目的や不正に回避されたために無効にされた場合を前提としています。
この新たに報告された問題によって実際のユーザー デバイスが不正使用された報告はありません。Android セキュリティ プラットフォームの保護や SafetyNet のようなサービスの保護について詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。
お知らせ
- 公開情報が改訂され、CVE-2016-3856 が CVE-2016-2060 に修正されています。
- この公開情報では、2 つのセキュリティ パッチレベル文字列を定義しています。これは、すべての Android デバイスで同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、一般的な質問と回答をご覧ください。
- 2016-08-01: 部分的に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチ レベル文字列は、2016-08-01(およびこれまでのすべてのセキュリティ パッチ レベル文字列)に関連するすべての問題に対処していることを示します。
- 2016-08-05: 完全に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチ レベル文字列は、2016-08-01 と 2016-08-05(およびこれまでのすべてのセキュリティ パッチ レベル文字列)に関連するすべての問題に対処していることを示します。
- サポート対象の Nexus デバイスには、2016 年 8 月 5 日のセキュリティ パッチレベルのアップデート 1 件を OTA で配信します。
Android と Google サービスでのリスク軽減策
ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
- Android 上の多くの問題の悪用は、Android プラットフォームの最新版で機能が強化されるほど困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
- Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しており、有害なおそれのあるアプリについてユーザーに警告しています。「アプリの確認」は、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。端末のルート権限を取得するツールは Google Play では禁止されていますが、「アプリの確認」では、アプリの入手元にかかわらず、ルート権限取得アプリを検出し、インストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。
- Google ハングアウトやメッセンジャーなどのアプリでは状況を適宜判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。
謝辞
調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。
- Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2016-3821、CVE-2016-3837
- Check Point Software Technologies Ltd. の Adam Donenfeld 他: CVE-2016-2504
- C0RE Team の Chiachih Wu(@chiachih_wu)、Mingjian Zhou(@Mingjian_Zhou)、Xuxian Jiang: CVE-2016-3844
- C0RE Team の Chiachih Wu(@chiachih_wu)、Yuan-Tsung Lo(computernik@gmail.com)、Xuxian Jiang: CVE-2016-3857
- Google の David Benjamin、Kenny Root: CVE-2016-3840
- Alibaba Mobile Security Team の Dawei Peng(Vinc3nt4H): CVE-2016-3822
- Tencent KeenLab(@keen_lab)の Di Shen(@returnsme): CVE-2016-3842
- Google の Dianne Hackborn: CVE-2016-2497
- Google Dynamic Tools チームの Dmitry Vyukov: CVE-2016-3841
- Qihoo 360 Technology Co. Ltd. IceSword Lab の Gengjia Chen(@chengjia4574)、PJF(weibo.com/jfpan)CVE-2016-3852
- Qihoo 360 Technology Co. Ltd. Alpha Team の Guang Gong(龚广)(@oldfresher)CVE-2016-3834
- Fortinet FortiGuard Labs の Kai Lu(@K3vinLuSec): CVE-2016-3820
- Kandala Shivaram reddy、DS、Uppi: CVE-2016-3826
- C0RE Team の Mingjian Zhou(@Mingjian_Zhou)、Chiachih Wu(@chiachih_wu)、Xuxian Jiang: CVE-2016-3823、CVE-2016-3835、CVE-2016-3824、CVE-2016-3825
- Tesla Motors Product Security Team の Nathan Crandall(@natecray): CVE-2016-3847、CVE-2016-3848
- Alibaba Mobile Security Group の Peng Xiao、Chengming Yang、Ning You、Chao Yang、Yang song: CVE-2016-3845
- Trend Micro の Peter Pi(@heisecode): CVE-2016-3849
- WooYun TangLab の Qianwei Hu(rayxcp@gmail.com): CVE-2016-3846
- Tencent KeenLab(@keen_lab)の Qidan He(@flanker_hqd): CVE-2016-3832
- Google の Sharvil Nanavati: CVE-2016-3839
- Security in Telecommunications の Shinjo Park(@ad_ili_rai)、Altaf Shaik: CVE-2016-3831
- Tom Rootjunky: CVE-2016-3853
- Vasily Vasiliev: CVE-2016-3819
- Alibaba Inc. の Weichao Sun(@sunblate): CVE-2016-3827、CVE-2016-3828、CVE-2016-3829
- Trend Micro Inc. の Wish Wu(吴潍浠)(@wish_wu): CVE-2016-3843
- Tencent Xuanwu LAB の Yongke Wang(@Rudykewang): CVE-2016-3836
CVE-2016-3843 のような脆弱性を軽減するプラットフォーム レベルのアップデートについて、Copperhead Security の Daniel Micay、Google の Jeff Vander Stoep と Yabin Cui の各氏にご協力いただき感謝いたします。この軽減策は Grsecurity の Brad Spengler 氏の研究を基礎としています。
セキュリティ パッチレベル 2016-08-01 のセキュリティ脆弱性の詳細
以下に、パッチレベル 2016-08-01 に該当するセキュリティ脆弱性の各項目の詳細を示します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新された Nexus デバイス、更新された AOSP のバージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載されている番号に、追加の参照へのリンクが設定されています。
メディアサーバーでのリモートコード実行の脆弱性
メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。メディアサーバーのプロセスは、音声や動画のストリームにアクセスできるほか、通常はサードパーティ アプリがアクセスできないような権限にアクセスできます。
影響を受ける機能はオペレーティング システムの中核部分として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3819 | A-28533562 | 重大 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 5 月 2 日 |
| CVE-2016-3820 | A-28673410 | 重大 | すべての Nexus | 6.0、6.0.1 | 2016 年 5 月 6 日 |
| CVE-2016-3821 | A-28166152 | 重大 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
libjhead でのリモートコード実行の脆弱性
libjhead にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、権限のないプロセス中に任意のコードを実行するおそれがあります。このライブラリを使用するアプリでリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3822 | A-28868315 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
メディアサーバーでの権限昇格の脆弱性
メディアサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティ アプリが通常はアクセスできない権限に昇格してローカルにアクセスできるようになるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3823 | A-28815329 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 5 月 17 日 |
| CVE-2016-3824 | A-28816827 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 5 月 17 日 |
| CVE-2016-3825 | A-28816964 | 高 | すべての Nexus | 5.0.2、5.1.1、6.0、6.0.1 | 2016 年 5 月 17 日 |
| CVE-2016-3826 | A-29251553 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 6 月 9 日 |
メディアサーバーでのサービス拒否の脆弱性
メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、デバイスのハングや再起動を引き起こすおそれがあります。一時的にリモートからのサービス拒否攻撃のおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3827 | A-28816956 | 高 | すべての Nexus | 6.0.1 | 2016 年 5 月 16 日 |
| CVE-2016-3828 | A-28835995 | 高 | すべての Nexus | 6.0、6.0.1 | 2016 年 5 月 17 日 |
| CVE-2016-3829 | A-29023649 | 高 | すべての Nexus | 6.0、6.0.1 | 2016 年 5 月 27 日 |
| CVE-2016-3830 | A-29153599 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
システム クロックでのサービス拒否の脆弱性
システム クロックにサービス拒否の脆弱性があり、リモートの攻撃者によるデバイスのクラッシュが可能になるおそれがあります。一時的にリモートからのサービス拒否攻撃のおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3831 | A-29083635 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 5 月 31 日 |
フレームワーク API での権限昇格の脆弱性
フレームワーク API に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、アプリデータを他のアプリから分離するオペレーティング システムの保護が回避されるおそれがあります。アプリの権限レベルの範囲を超えたデータにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3832 | A-28795098 | 中 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 5 月 15 日 |
シェルでの権限昇格の脆弱性
シェルでの権限昇格により、ユーザーによる制限などのデバイス上の制限を、悪意のあるローカルアプリが回避できるようになるおそれがあります。ユーザーの許可がローカルで回避されるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3833 | A-29189712 [2] | 中 | すべての Nexus | 5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
OpenSSL での情報開示の脆弱性
OpenSSL に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2842 | A-29060514 | なし* | すべての Nexus | 4.4.4、5.0.2、5.1.1 | 2016 年 3 月 29 日 |
* サポート対象の Nexus デバイスにおいて、適用できるすべてのアップデートがインストールされている場合は、この脆弱性による影響を受けません。
カメラ用 API での情報開示の脆弱性
カメラ用 API に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータ構造にアクセスできるおそれがあります。許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3834 | A-28466701 | 中 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 4 月 28 日 |
メディアサーバーでの情報開示の脆弱性
メディアサーバーに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3835 | A-28920116 | 中 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 5 月 23 日 |
SurfaceFlinger での情報開示の脆弱性
SurfaceFlinger サービスに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3836 | A-28592402 | 中 | すべての Nexus | 5.0.2、5.1.1、6.0、6.0.1 | 2016 年 5 月 4 日 |
Wi-Fi での情報開示の脆弱性
Wi-Fi に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3837 | A-28164077 | 中 | すべての Nexus | 5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
システム UI でのサービス拒否の脆弱性
システム UI にサービス拒否の脆弱性があり、悪意のあるローカルアプリがロック画面からの 911 番への発信を阻止できるおそれがあります。重要な機能のサービスが拒否されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3838 | A-28761672 | 中 | すべての Nexus | 6.0、6.0.1 | Google 社内 |
Bluetooth でのサービス拒否の脆弱性
Bluetooth にサービス拒否の脆弱性があるため、悪意のあるローカルアプリが Bluetooth デバイスからの 911 番への発信を阻止できるおそれがあります。重要な機能のサービスが拒否されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3839 | A-28885210 | 中 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
セキュリティ パッチレベル 2016-08-05 の脆弱性の詳細
以下に、パッチレベル 2016-08-05 に該当するセキュリティ脆弱性の各項目の詳細を示します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新された Nexus デバイス、更新された AOSP のバージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
Qualcomm Wi-Fi ドライバでのリモートコード実行の脆弱性
Qualcomm Wi-Fi ドライバにリモートコードの脆弱性があるため、リモートの攻撃者がカーネル内で任意のコードを実行できるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2014-9902 | A-28668638 | 重大 | Nexus 7(2013) | 2014 年 3 月 31 日 |
Conscrypt でのリモートコード実行の脆弱性
Conscrypt にリモートコード実行の脆弱性があるため、リモートの攻撃者によって特権プロセス内で任意のコードが実行されるおそれがあります。リモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3840 | A-28751153 | 重大 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
Qualcomm コンポーネントでの権限昇格の脆弱性
以下の表に、Qualcomm コンポーネントに影響するセキュリティの脆弱性を示します。影響を受けるおそれがあるコンポーネントには、ブートローダー、カメラドライバ、キャラクタ ドライブ、ネットワーク、サウンド ドライバ、ビデオドライバなどがあります。
このうち最も重大なのは、悪意のあるローカルアプリがカーネル内で任意のコードを実行できるおそれがある問題です。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2014-9863 | A-28768146 | 重大 | Nexus 5、Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9864 | A-28747998 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 27 日 |
| CVE-2014-9865 | A-28748271 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 27 日 |
| CVE-2014-9866 | A-28747684 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9867 | A-28749629 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9868 | A-28749721 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9869 | A-28749728 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9870 | A-28749743 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9871 | A-28749803 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9872 | A-28750155 | 高 | Nexus 5 | 2014 年 3 月 31 日 |
| CVE-2014-9873 | A-28750726 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9874 | A-28751152 | 高 | Nexus 5、Nexus 5X、Nexus 6P、Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9875 | A-28767589 | 高 | Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9876 | A-28767796 | 高 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9877 | A-28768281 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9878 | A-28769208 | 高 | Nexus 5 | 2014 年 4 月 30 日 |
| CVE-2014-9879 | A-28769221 | 高 | Nexus 5 | 2014 年 4 月 30 日 |
| CVE-2014-9880 | A-28769352 | 高 | Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9881 | A-28769368 | 高 | Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9882 | A-28769546 | 高 | Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9883 | A-28769912 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9884 | A-28769920 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9885 | A-28769959 | 高 | Nexus 5 | 2014 年 4 月 30 日 |
| CVE-2014-9886 | A-28815575 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9887 | A-28804057 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 7 月 3 日 |
| CVE-2014-9888 | A-28803642 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 8 月 29 日 |
| CVE-2014-9889 | A-28803645 | 高 | Nexus 5 | 2014 年 10 月 31 日 |
| CVE-2015-8937 | A-28803962 | 高 | Nexus 5、Nexus 6、Nexus 7(2013) | 2015 年 5 月 31 日 |
| CVE-2015-8938 | A-28804030 | 高 | Nexus 6 | 2015 年 5 月 31 日 |
| CVE-2015-8939 | A-28398884 | 高 | Nexus 7(2013) | 2015 年 4 月 30 日 |
| CVE-2015-8940 | A-28813987 | 高 | Nexus 6 | 2015 年 4 月 30 日 |
| CVE-2015-8941 | A-28814502 | 高 | Nexus 6、Nexus 7(2013) | 2015 年 5 月 29 日 |
| CVE-2015-8942 | A-28814652 | 高 | Nexus 6 | 2015 年 6 月 30 日 |
| CVE-2015-8943 | A-28815158 | 高 | Nexus 5 | 2015 年 9 月 11 日 |
| CVE-2014-9891 | A-28749283 | 中 | Nexus 5 | 2014 年 3 月 13 日 |
| CVE-2014-9890 | A-28770207 | 中 | Nexus 5、Nexus 7(2013) | 2014 年 6 月 2 日 |
カーネル ネットワーク コンポーネントでの権限昇格の脆弱性
カーネル ネットワーク コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で任意のコードを実行できるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2015-2686 | A-28759139 | 重大 | すべての Nexus | 2015 年 5 月 23 日 |
| CVE-2016-3841 | A-28746669 | 重大 | すべての Nexus | 2015 年 12 月 3 日 |
Qualcomm GPU ドライバでの権限昇格の脆弱性
Qualcomm GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2504 | A-28026365
QC-CR#1002974 |
重大 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013) | 2016 年 4 月 5 日 |
| CVE-2016-3842 | A-28377352 QC-CR#1002974 |
重大 | Nexus 5X、Nexus 6、Nexus 6P | 2016 年 4 月 25 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
Qualcomm パフォーマンス コンポーネントでの権限昇格の脆弱性
Qualcomm パフォーマンス コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリによりカーネルにおいて任意のコードの実行が可能になるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
注: この公開情報には A-29119870 にプラットフォーム レベルのアップデートもあり、この種の脆弱性を軽減するよう設計されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3843 | A-28086229* QC-CR#1011071 |
重大 | Nexus 5X、Nexus 6P | 2016 年 4 月 7 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
カーネルでの権限昇格の脆弱性
カーネルに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3857 | A-28522518* | 重大 | Nexus 7(2013) | 2016 年 5 月 2 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
カーネル メモリシステムでの権限昇格の脆弱性
カーネル メモリシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で任意のコードを実行できるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2015-1593 | A-29577822 | 高 | Nexus Player | 2015 年 2 月 13 日 |
| CVE-2016-3672 | A-28763575 | 高 | Nexus Player | 2016 年 3 月 25 日 |
カーネル サウンド コンポーネントでの権限昇格の脆弱性
カーネル サウンド コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で任意のコードを実行できるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2544 | A-28695438 | 高 | すべての Nexus | 2016 年 1 月 19 日 |
| CVE-2016-2546 | A-28694392 | 高 | Pixel C | 2016 年 1 月 19 日 |
| CVE-2014-9904 | A-28592007 | 高 | Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player | 2016 年 5 月 4 日 |
カーネル ファイル システムでの権限昇格の脆弱性
カーネル ファイル システムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2012-6701 | A-28939037 | 高 | Nexus 5、Nexus 7(2013) | 2016 年 3 月 2 日 |
メディアサーバーでの権限昇格の脆弱性
メディアサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティ アプリが通常はアクセスできない権限に昇格してローカルにアクセスできるようになるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3844 | A-28299517* N-CVE-2016-3844 |
高 | Nexus 9、Pixel C | 2016 年 4 月 19 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
カーネル ビデオドライバでの権限昇格の脆弱性
カーネル ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3845 | A-28399876* | 高 | Nexus 5 | 2016 年 4 月 20 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
シリアル周辺機器用インターフェース ドライバでの権限昇格の脆弱性
シリアル周辺機器用インターフェース ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネルのコンテキスト内で任意のコードを実行できるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3846 | A-28817378* | 高 | Nexus 5X、Nexus 6P | 2016 年 5 月 17 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
NVIDIA メディア ドライバでの権限昇格の脆弱性
NVIDIA メディア ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネルのコンテキスト内で任意のコードを実行できるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3847 | A-28871433* N-CVE-2016-3847 |
高 | Nexus 9 | 2016 年 5 月 19 日 |
| CVE-2016-3848 | A-28919417* N-CVE-2016-3848 |
高 | Nexus 9 | 2016 年 5 月 19 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
ION ドライバでの権限昇格の脆弱性
ION ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で任意のコードを実行できるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3849 | A-28939740 | 高 | Pixel C | 2016 年 5 月 24 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
Qualcomm ブートローダーでの権限昇格の脆弱性
Qualcomm ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3850 | A-27917291 | 高 | Nexus 5、Nexus 5X、Nexus 6P、Nexus 7(2013) | 2016 年 3 月 28 日 |
カーネル パフォーマンス サブシステムでの権限昇格の脆弱性
カーネル パフォーマンス サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。カーネルの攻撃対象領域を攻撃者が悪用できるようになるため、この問題の重大度は「高」と判断されています。
注: これは、CVE-2016-3843(A-28086229)のような脆弱性を軽減することを目的としたプラットフォーム レベルのアップデートです。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3843 | A-29119870* | 高 | すべての Nexus | 6.0、6.1 | Google 社内 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
LG Electronics ブートローダーでの権限昇格の脆弱性
LG Electronics ブートローダーに権限昇格の脆弱性があるため、攻撃者によってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3851 | A-29189941* | 高 | Nexus 5X | Google 社内 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
Qualcomm コンポーネントでの情報開示の脆弱性
以下の表に、Qualcomm コンポーネントに影響するセキュリティの脆弱性を示します。影響を受けるおそれがあるコンポーネントには、ブートローダー、カメラドライバ、キャラクタ ドライバ、ネットワーク、サウンド ドライバ、ビデオドライバなどがあります。
このうち最も重大なのは、ユーザーの明示的な許可を得ずに、悪意のあるローカルアプリが権限レベルの範囲外の機密データなどにアクセスできるおそれがある問題で、重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2014-9892 | A-28770164 | 高 | Nexus 5、Nexus 7(2013) | 2014 年 6 月 2 日 |
| CVE-2015-8944 | A-28814213 | 高 | Nexus 6、Nexus 7(2013) | 2015 年 4 月 30 日 |
| CVE-2014-9893 | A-28747914 | 中 | Nexus 5 | 2014 年 3 月 27 日 |
| CVE-2014-9894 | A-28749708 | 中 | Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9895 | A-28750150 | 中 | Nexus 5、Nexus 7(2013) | 2014 年 3 月 31 日 |
| CVE-2014-9896 | A-28767593 | 中 | Nexus 5、Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9897 | A-28769856 | 中 | Nexus 5 | 2014 年 4 月 30 日 |
| CVE-2014-9898 | A-28814690 | 中 | Nexus 5、Nexus 7(2013) | 2014 年 4 月 30 日 |
| CVE-2014-9899 | A-28803909 | 中 | Nexus 5 | 2014 年 7 月 3 日 |
| CVE-2014-9900 | A-28803952 | 中 | Nexus 5、Nexus 7(2013) | 2014 年 8 月 8 日 |
カーネル スケジューラでの情報開示の脆弱性
カーネル スケジューラに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用される可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2014-9903 | A-28731691 | 高 | Nexus 5X、Nexus 6P | 2014 年 2 月 21 日 |
MediaTek Wi-Fi ドライバでの情報開示の脆弱性(デバイス固有)
MediaTek Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用される可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3852 | A-29141147* M-ALPS02751738 |
高 | Android One | 2016 年 4 月 12 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
USB ドライバでの情報開示の脆弱性
USB ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用される可能性があるため、この問題の重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-4482 | A-28619695 | 高 | すべての Nexus | 2016 年 5 月 3 日 |
Qualcomm コンポーネントでのサービス拒否の脆弱性
以下の表に、Qualcomm コンポーネントに影響するセキュリティの脆弱性を示します。影響を受けるおそれのあるコンポーネントには、Wi-Fi ドライバなどがあります。
このうち最も重大なのは、攻撃者によって一時的にリモートからサービスが拒否され、デバイスのハングや再起動を引き起こすおそれがある問題で、重大度は「高」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2014-9901 | A-28670333 | 高 | Nexus 7(2013) | 2014 年 3 月 31 日 |
Google Play 開発者サービスでの権限昇格の脆弱性
Google Play 開発者サービスに権限昇格の脆弱性があるため、ローカルの攻撃者によって、出荷時設定へのリセット保護機能を回避してデバイスにアクセスされるおそれがあります。出荷時設定へのリセット保護機能が回避され、デバイスをリセットしてデータがすべて消去されるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-3853 | A-26803208* | 中 | すべての Nexus | なし | 2016 年 5 月 4 日 |
* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Nexus デバイス用バイナリ ドライバに含まれています。
フレームワーク API での権限昇格の脆弱性
フレームワーク API に権限昇格の脆弱性があるため、事前にインストールされたアプリが、ユーザーに通知されずに更新され、その際にインテント フィルタの優先度が引き上げられるおそれがあります。ユーザーの明示的な許可を得ずに権限を昇格できるようになるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2497 | A-27450489 | 中 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
カーネル ネットワーク コンポーネントでの情報開示の脆弱性
カーネル ネットワーク コンポーネントに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-4486 | A-28620102 | 中 | すべての Nexus | 2016 年 5 月 3 日 |
カーネル サウンド コンポーネントでの情報開示の脆弱性
カーネル サウンド コンポーネントに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-4569 | A-28980557 | 中 | すべての Nexus | 2016 年 5 月 9 日 |
| CVE-2016-4578 | A-28980217 | 中 | すべての Nexus | 2016 年 5 月 11 日 |
Qualcomm コンポーネントでの脆弱性
以下の表に、Qualcomm コンポーネントに影響するセキュリティの脆弱性を示します。影響を受けるおそれのあるコンポーネントには、ブートローダー、カメラドライバ、キャラクタ ドライバ、ネットワーク、サウンド ドライバ、ビデオドライバなどがあります。
| CVE | 参照 | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-3854 | QC-CR#897326 | 高 | なし | 2016 年 2 月 |
| CVE-2016-3855 | QC-CR#990824 | 高 | なし | 2016 年 5 月 |
| CVE-2016-2060 | QC-CR#959631 | 中 | なし | 2016 年 4 月 |
一般的な質問と回答
上記の公開情報に対する一般的な質問とその回答は以下のとおりです。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
セキュリティ パッチレベル 2016-08-01 以降では、セキュリティ パッチレベル文字列 2016-08-01 に関連するすべての問題に対処しています。セキュリティ パッチレベル 2016-08-05 以降では、セキュリティ パッチレベル文字列 2016-08-05 に関連するすべての問題に対処しています。セキュリティ パッチレベルを確認する方法については、ヘルプセンターの説明をご覧ください。上記のアップデートを組み込んだデバイスメーカーは、パッチレベル文字列を [ro.build.version.security_patch]:[2016-08-01] または [ro.build.version.security_patch]:[2016-08-05] に設定する必要があります。
2. この公開情報に 2 つのセキュリティ パッチレベル文字列があるのはなぜですか?
この公開情報では、すべての Android デバイスで同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするために、2 つのセキュリティ パッチレベル文字列を定義しています。Android パートナーは、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベル文字列を使用することが推奨されています。
2016 年 8 月 5 日以降のセキュリティ パッチレベルを使用するデバイスには、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。
2016 年 8 月 1 日のセキュリティ パッチレベルを使用するデバイスには、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。2016 年 8 月 1 日のセキュリティ パッチレベルを使用するデバイスに、2016 年 8 月 5 日のセキュリティ パッチレベルに関連する修正の一部を組み込むこともできます。
3. 各問題の影響を受ける Nexus デバイスを判断するにはどうすればよいですか?
2016-08-01 と 2016-08-05 におけるセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Nexus デバイス」列に、その問題の影響を受ける、更新対象の Nexus デバイスの種類を記載しています。この列の記載は次のいずれかです。
- すべての Nexus デバイス: 問題がすべての Nexus デバイスに影響を与える場合、表の「更新された Nexus デバイス」列には「すべての Nexus」と記載されています。「すべての Nexus」にはサポート対象のデバイス(Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Android One、Nexus Player、Pixel C)が含まれます。
- 一部の Nexus デバイス: 問題が一部の Nexus デバイスのみに影響する場合、「更新対象の Nexus デバイス」列には影響を受ける Nexus デバイスが記載されています。
- 影響を受ける Nexus デバイスがない: 問題の影響を受ける Nexus デバイスがない場合、表の「更新対象の Nexus デバイス」列には「なし」と記載されています。
4. 「参照」列の項目はどのような情報に関連付けられていますか?
脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属す組織を示す接頭辞を含めている場合があります。各接頭辞の意味は以下のとおりです。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
| QC- | Qualcomm の参照番号 |
| M- | MediaTek の参照番号 |
| N- | NVIDIA の参照番号 |
改訂
- 2016 年 8 月 1 日: 情報公開
- 2016 年 8 月 2 日: 公開情報を改訂し AOSP リンクを追加
- 2016 年 8 月 16 日: CVE-2016-3856 を CVE-2016-2060 に修正、参照 URL を更新
- 2016 年 10 月 21 日: CVE-2016-4486 にあった誤字脱字を修正