Android のセキュリティに関する公開情報 - 2022 年 11 月

2022 年 11 月 7 日公開 | 2022 年 11 月 9 日更新

Android Security Bulletin には、Android デバイスに影響を与えるセキュリティの脆弱性の詳細が含まれています。 2022 年 11 月 5 日以降のセキュリティ パッチ レベルでは、これらすべての問題に対処しています。デバイスのセキュリティ パッチ レベルを確認する方法については、 「Android のバージョンを確認して更新する」をご覧ください。

Android パートナーには、発行の少なくとも 1 か月前にすべての問題が通知されます。これらの問題に対するソース コード パッチは、Android オープン ソース プロジェクト (AOSP) リポジトリにリリースされ、このセキュリティ情報からリンクされています。このセキュリティ情報には、AOSP 以外のパッチへのリンクも含まれています。

これらの問題の中で最も深刻なものは、Framework コンポーネントの高度なセキュリティの脆弱性であり、追加の実行権限を必要とせずに、ローカルでの権限昇格につながる可能性があります。重大度の評価は、プラットフォームとサービスの緩和策が開発目的でオフになっている場合、またはバイパスに成功した場合に、脆弱性を悪用した場合に影響を受けるデバイスに与える可能性のある影響に基づいています。

Android プラットフォームのセキュリティを向上させるAndroid セキュリティ プラットフォーム保護と Google Play プロテクトの詳細については、 Android と Google Play プロテクトの軽減策のセクションを参照してください。

Android および Google サービスの緩和策

これは、 Android セキュリティ プラットフォームおよびGoogle Play プロテクトなどのサービス保護によって提供される軽減策の概要です。これらの機能により、Android でセキュリティの脆弱性が悪用される可能性が低くなります。

  • Android プラットフォームの新しいバージョンの機能強化により、Android の多くの問題の悪用がより困難になっています。可能であれば、すべてのユーザーに最新バージョンの Android に更新することをお勧めします。
  • Android セキュリティ チームは、 Google Play プロテクトを通じて悪用を積極的に監視し、有害な可能性のあるアプリケーションについてユーザーに警告します。 Google Play プロテクトは、 Google モバイル サービスを搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとって特に重要です。

2022-11-01 セキュリティ パッチ レベルの脆弱性の詳細

以下のセクションでは、2022-11-01 パッチ レベルに適用される各セキュリティ脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。問題は以下の表で説明されており、CVE ID、関連する参照、脆弱性のタイプ重大度、更新された AOSP バージョン (該当する場合) が含まれています。利用可能な場合は、AOSP 変更リストのように、問題に対処した公開変更をバグ ID にリンクします。複数の変更が 1 つのバグに関連している場合、追加の参照はバグ ID に続く番号にリンクされています。 Android 10 以降を搭載したデバイスは、セキュリティ アップデートとGoogle Play システム アップデートを受信する場合があります。

フレームワーク

このセクションの最も重大な脆弱性は、追加の実行権限を必要とせずに、ローカルでの権限昇格につながる可能性があります。

CVE参考文献タイプ重大度更新された AOSP バージョン
CVE-2022-2209 A-235601882 EoP高い10、11、12、12L、13
CVE-2022-20441 A-238605611 EoP高い10、11、12、12L、13
CVE-2022-20446 A-229793943 EoP高い10、11
CVE-2022-20448 A-237540408 EoP高い10、11、12、12L、13
CVE-2022-20450 A-210065877 EoP高い10、11、12、12L、13
CVE-2022-20452 A-240138318 EoP高い13
CVE-2022-20457 A-243924784 EoP高い13

複数のコンポーネント

このセクションの脆弱性は、追加の実行権限を必要とせずに、ローカル サービス拒否につながる可能性があります。

CVE参考文献タイプ重大度更新された AOSP バージョン
CVE-2022-20426 A-236263294 [ 2 ] DoS高い10、11、12、12L、13

システム

このセクションの最も重大な脆弱性は、追加の実行権限を必要とせずに、ローカルでの権限昇格につながる可能性があります。

CVE参考文献タイプ重大度更新された AOSP バージョン
CVE-2022-20451 A-235098883 EoP高い10、11、12、12L、13
CVE-2022-20454 A-242096164 EoP高い10、11、12、12L、13
CVE-2022-20462 A-230356196 EoP高い10、11、12、12L、13
CVE-2022-20465 A-218500036 EoP高い10、11、12、12L、13
CVE-2022-20445 A-225876506 ID高い10、11、12、12L、13
CVE-2022-20447 A-233604485 ID高い13
CVE-2022-20414 A-234441463 [ 2 ] DoS高い10、11、12、12L、13
CVE-2022-20453 A-240685104 DoS高い10、11、12、12L、13

Google Play システム アップデート

Project Mainline コンポーネントには、次の問題が含まれています。

サブコンポーネントCVE
メディア フレームワーク コンポーネントCVE-2022-2209
Wi-Fi CVE-2022-20463

2022-11-05 セキュリティ パッチ レベルの脆弱性の詳細

以下のセクションでは、2022-11-05 パッチ レベルに適用される各セキュリティ脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。問題は以下の表で説明されており、CVE ID、関連する参照、脆弱性のタイプ重大度、更新された AOSP バージョン (該当する場合) が含まれています。利用可能な場合は、AOSP 変更リストのように、問題に対処した公開変更をバグ ID にリンクします。複数の変更が 1 つのバグに関連している場合、追加の参照はバグ ID に続く番号にリンクされています。

イマジネーション・テクノロジーズ

これらの脆弱性は、Imagination Technologies のコンポーネントに影響を与えます。詳細については、Imagination Technologies から直接入手できます。これらの問題の重大度評価は、Imagination Technologies によって直接提供されます。

CVE参考文献重大度サブコンポーネント
CVE-2021-1050 A-243825200 *高いPowerVR-GPU
CVE-2021-39661 A-246824784 *高いPowerVR-GPU

MediaTek コンポーネント

これらの脆弱性は MediaTek コンポーネントに影響を与えます。詳細については、MediaTek から直接入手できます。これらの問題の重大度評価は、MediaTek から直接提供されます。

CVE参考文献重大度サブコンポーネント
CVE-2022-32601 A-234038598
M-ALPS07319132 *
高い電話
CVE-2022-32602 A-245050053
M-ALPS07388790 *
高いキーインストール

Unisoc コンポーネント

これらの脆弱性は、Unisoc コンポーネントに影響を与えます。詳細については、Unisoc から直接入手できます。これらの問題の重大度評価は、Unisoc によって直接提供されます。

CVE参考文献重大度サブコンポーネント
CVE-2022-2984 A-244673210
U-1901978 *
高いカーネル
CVE-2022-2985 A-244657985
U-1882490 *
高いアンドロイド
CVE-2022-38669 A-244666286
U-1883755 *
高いアンドロイド
CVE-2022-38670 A-244674480
U-1883755 *
高いアンドロイド
CVE-2022-39105 A-245210875
U-1830881 *
高いカーネル
CVE-2022-38672 A-244684957
U-1957128 *
高いカーネル
CVE-2022-38673 A-246482122
U-1957128 *
高いカーネル
CVE-2022-38676 A-244683429
U-1908118 *
高いカーネル
CVE-2022-38690 A-244109033
U-1914157 *
高いカーネル

クアルコムのコンポーネント

これらの脆弱性は Qualcomm コンポーネントに影響を与え、適切な Qualcomm セキュリティ速報またはセキュリティ アラートで詳しく説明されています。これらの問題の重大度評価は、Qualcomm から直接提供されます。

CVE参考文献重大度サブコンポーネント
CVE-2022-25724 A-238106223
QC-CR#3090325 [ 2 ] [ 3 ]
高い画面
CVE-2022-25741 A-240972788
QC-CR#3147273
高い無線LAN
CVE-2022-25743 A-240973083
QC-CR#3153406
高い画面

クアルコムのクローズドソース コンポーネント

これらの脆弱性は Qualcomm のクローズド ソース コンポーネントに影響を与え、適切な Qualcomm セキュリティ速報またはセキュリティ アラートで詳細に説明されています。これらの問題の重大度評価は、Qualcomm から直接提供されます。

CVE参考文献重大度サブコンポーネント
CVE-2021-35122 A-213239915 *致命的クローズドソース コンポーネント
CVE-2021-35108 A-209469945 *高いクローズドソース コンポーネント
CVE-2021-35109 A-209469824 *高いクローズドソース コンポーネント
CVE-2021-35132 A-213240063 *高いクローズドソース コンポーネント
CVE-2021-35135 A-213239949 *高いクローズドソース コンポーネント
CVE-2022-25671 A-231156429 *高いクローズドソース コンポーネント
CVE-2022-33234 A-240971780 *高いクローズドソース コンポーネント
CVE-2022-33236 A-240973180 *高いクローズドソース コンポーネント
CVE-2022-33237 A-240972236 *高いクローズドソース コンポーネント
CVE-2022-33239 A-240982982 *高いクローズドソース コンポーネント

よくある質問と回答

このセクションでは、このセキュリティ情報を読んだ後に発生する可能性がある一般的な質問に回答します。

1. これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?

デバイスのセキュリティ パッチ レベルを確認する方法については、 「Android のバージョンを確認して更新する」をご覧ください。

  • 2022-11-01 以降のセキュリティ パッチ レベルは、2022-11-01 セキュリティ パッチ レベルに関連するすべての問題に対処します。
  • 2022-11-05 以降のセキュリティ パッチ レベルは、2022-11-05 セキュリティ パッチ レベルおよびそれ以前のすべてのパッチ レベルに関連するすべての問題に対処します。

これらの更新を含むデバイス メーカーは、パッチ文字列レベルを次のように設定する必要があります。

  • [ro.build.version.security_patch]:[2022-11-01]
  • [ro.build.version.security_patch]:[2022-11-05]

Android 10 以降の一部のデバイスでは、Google Play システム アップデートの日付文字列が 2022-11-01 セキュリティ パッチ レベルと一致します。セキュリティ更新プログラムのインストール方法の詳細については、この記事を参照してください。

2. このセキュリティ情報に 2 つのセキュリティ パッチ レベルがあるのはなぜですか?

このセキュリティ情報には 2 つのセキュリティ パッチ レベルが含まれているため、Android パートナーは、すべての Android デバイスで類似している脆弱性のサブセットをより迅速に修正できます。 Android パートナーは、このセキュリティ情報に記載されているすべての問題を修正し、最新のセキュリティ パッチ レベルを使用することをお勧めします。

  • 2022-11-01 セキュリティ パッチ レベルを使用するデバイスには、そのセキュリティ パッチ レベルに関連するすべての問題と、以前のセキュリティ速報で報告されたすべての問題の修正が含まれている必要があります。
  • 2022-11-05 以降のセキュリティ パッチ レベルを使用するデバイスには、この (および以前の) セキュリティ速報に適用可能なすべてのパッチを含める必要があります。

パートナーは、対処しているすべての問題の修正を 1 回の更新にバンドルすることをお勧めします。

3. Type列のエントリは何を意味しますか?

脆弱性の詳細テーブルの [タイプ] 列のエントリは、セキュリティの脆弱性の分類を参照します。

略語意味
RCEリモートコード実行
EoP特権の昇格
ID情報開示
DoSサービス拒否
なし分類不可

4.参照列のエントリは何を意味しますか?

脆弱性の詳細テーブルの [参照] 列のエントリには、参照値が属する組織を識別するプレフィックスが含まれている場合があります。

プレフィックス参照
A- Android バグ ID
QC-クアルコム参照番号
M- MediaTek 参照番号
N- NVIDIA 参照番号
B- Broadcom 参照番号
うーUNISOC 参照番号

5. [参照] 列の Android バグ ID の横にある * は何を意味しますか?

公開されていない号には、対応する参照 ID の横に * が付いています。この問題の更新は通常、 Google Developer サイトから入手できる Pixel デバイス用の最新のバイナリ ドライバに含まれています。

6. セキュリティの脆弱性が、このセキュリティ情報とデバイス/パートナーのセキュリティ情報 (Pixel のセキュリティ情報など) に分かれているのはなぜですか?

このセキュリティ情報に記載されているセキュリティの脆弱性は、Android デバイスで最新のセキュリティ パッチ レベルを宣言するために必要です。デバイス/パートナーのセキュリティ速報に記載されている追加のセキュリティ脆弱性は、セキュリティ パッチ レベルを宣言するために必要ありません。 Android デバイスおよびチップセットのメーカーは、 GoogleHuaweiLGEMotorolaNokiaSamsungなどの自社製品に固有のセキュリティ脆弱性の詳細を公開する場合もあります。

バージョン

バージョン日にちノート
1.0 2022 年 11 月 7 日会報発行
1.1 2022 年 11 月 9 日AOSP リンクを含むように更新された速報
2.0 2022 年 12 月 7 日改訂された CVE テーブル