2020 年 8 月 25 日公開 | 2021 年 11 月 19 日更新
この Android セキュリティ リリースノートには、Android 11 の一環として対処した、Android デバイスに影響を及ぼすセキュリティの脆弱性の詳細を掲載しています。セキュリティ パッチレベル 2020-09-01 以降の Android 11 デバイスは、これらの問題から保護されています(Android 11 の AOSP でのリリース時点におけるデフォルトのセキュリティ パッチレベルは 2020-09-01 です)。デバイスのセキュリティ パッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。
Android パートナーには、公開前にすべての問題が通知されます。これらの問題に対するソースコードのパッチは、Android 11 のリリースの一環として Android オープンソース プロジェクト(AOSP)リポジトリにリリースされます。
これらのリリースノートに掲載される問題の重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。
この新たに報告された問題によってユーザーのデバイスが実際に不正使用されたという報告はありません。Android セキュリティ プラットフォームの保護や Google Play プロテクトについて詳しくは、Android と Google Play プロテクトでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
お知らせ
- このドキュメントに掲載されている問題は Android 11 の一環として対処されています。この情報は、参考および透明性のために提供されています。
- Android エコシステムの保護に継続的にご協力いただいているセキュリティ リサーチ コミュニティの皆様に感謝とお礼を申し上げます。
Android と Google サービスでのリスク軽減策
ここでは、Android セキュリティ プラットフォームや Google Play プロテクトのようなサービスによる保護でリスクを軽減する手段について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らすものです。
- Android プラットフォームの最新版での機能強化により、Android にある多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新版の Android に更新することをおすすめしています。
- Android セキュリティ チームは、Google Play プロテクトによって脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。Google Play プロテクトは、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。
Android 11 の脆弱性の詳細
以下に、Android 11 の一環として修正されたセキュリティの脆弱性について詳しく説明します。影響を受けるコンポーネントごとに脆弱性を分類し、CVE、関連する参照先、脆弱性のタイプ、重大度などの詳細を記載しています。
Android ランタイム
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2020-0330 | A-150331085 | EoP | 中 |
フレームワーク
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2020-0267 | A-139128211 | EoP | 重大 |
| CVE-2020-0275 | A-150507736 | EoP | 高 |
| CVE-2020-27098 | A-138791358 | EoP | 高 |
| CVE-2020-0337 | A-124329382 | ID | 高 |
| CVE-2020-27097 | A-140729426 | ID | 高 |
| CVE-2020-0333 | A-73822755 | RCE | 中 |
| CVE-2019-13734 | A-147323008 | EoP | 中 |
| CVE-2019-13752 | A-147320136 | EoP | 中 |
| CVE-2019-13753 | A-147320314 | EoP | 中 |
| CVE-2020-0130 | A-123230379 | EoP | 中 |
| CVE-2020-0277 | A-148627993 | EoP | 中 |
| CVE-2020-0341 | A-144920149 | EoP | 中 |
| CVE-2020-0345 | A-144286721 | EoP | 中 |
| CVE-2020-0366 | A-138443815 | EoP | 中 |
| CVE-2019-13751 | A-147322738 | ID | 中 |
| CVE-2020-0288 | A-153995991 | ID | 中 |
| CVE-2020-0289 | A-153996872 | ID | 中 |
| CVE-2020-0290 | A-153996866 | ID | 中 |
| CVE-2020-0293 | A-141455849 | ID | 中 |
| CVE-2020-0296 | A-153356209 | ID | 中 |
| CVE-2020-0297 | A-155183624 | ID | 中 |
| CVE-2020-0308 | A-153654357 | ID | 中 |
| CVE-2020-0312 | A-153879099 | ID | 中 |
| CVE-2020-0317 | A-119671929 | ID | 中 |
| CVE-2020-0343 | A-119672472 | ID | 中 |
| CVE-2020-0352 | A-132074310 | ID | 中 |
| CVE-2020-0372 | A-119673147 | ID | 中 |
ライブラリ
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2020-0369 | A-130231426 | EoP | 中 |
| CVE-2019-8842 | A-141551144 | ID | 中 |
| CVE-2020-0322 | A-147002540 | ID | 中 |
| CVE-2020-0323 | A-146516087 | ID | 中 |
| CVE-2020-0425 | A-124000380 | ID | 高 |
| CVE-2020-0426 | A-154921790 | ID | 中 |
| CVE-2020-3898 | A-111450151 | ID | 中 |
メディア フレームワーク
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2020-0264 | A-116718596 | RCE | 中 |
| CVE-2020-0303 | A-148223229 | RCE | 中 |
| CVE-2020-0321 | A-155171907 | RCE | 中 |
| CVE-2020-0306 | A-139666480 | EoP | 中 |
| CVE-2020-0336 | A-153467444 | EoP | 中 |
| CVE-2020-0346 | A-147002762 | EoP | 中 |
| CVE-2020-0356 | A-143787559 | EoP | 中 |
| CVE-2020-0357 | A-150225569 | EoP | 中 |
| CVE-2020-0358 | A-150227563 | EoP | 中 |
| CVE-2020-0360 | A-145129456 | EoP | 中 |
| CVE-2020-0406 | A-137794014 | EoP | 中 |
| CVE-2020-0125 | A-137282168 | ID | 中 |
| CVE-2020-0270 | A-145790628 | ID | 中 |
| CVE-2020-0274 | A-120781925 | ID | 中 |
| CVE-2020-0279 | A-131430997 | ID | 中 |
| CVE-2020-0314 | A-154934920 | ID | 中 |
| CVE-2020-0324 | A-136660304 | ID | 中 |
| CVE-2020-0328 | A-150156131 | ID | 中 |
| CVE-2020-0329 | A-63522940 | ID | 中 |
| CVE-2020-0340 | A-144901522 | ID | 中 |
| CVE-2020-0344 | A-140729887 | ID | 中 |
| CVE-2020-0355 | A-141883493 | ID | 中 |
| CVE-2020-0359 | A-150303018 | ID | 中 |
| CVE-2020-0361 | A-151927433 | ID | 中 |
| CVE-2020-0364 | A-137282770 | ID | 中 |
| CVE-2020-0370 | A-112051700 | ID | 中 |
| CVE-2020-0373 | A-146894086 | ID | 中 |
| CVE-2020-0287 | A-141860394 | DoS | 中 |
| CVE-2020-0301 | A-124940460 | DoS | 中 |
| CVE-2020-0320 | A-129282427 | DoS | 中 |
| CVE-2020-0332 | A-124783982 | DoS | 中 |
| CVE-2020-0351 | A-124777537 | DoS | 中 |
| CVE-2020-0353 | A-124777526 | DoS | 中 |
| CVE-2020-0362 | A-123237930 | DoS | 中 |
| CVE-2020-0363 | A-132274514 | DoS | 中 |
システム
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2020-0266 | A-111086459 | EoP | 高 |
| CVE-2020-0374 | A-156251602 | EoP | 高 |
| CVE-2020-0375 | A-156253476 | EoP | 高 |
| CVE-2020-0318 | A-33646131 | DoS | 高 |
| CVE-2020-0354 | A-143604331 | RCE | 中 |
| CVE-2019-5094 | A-141639890 | EoP | 中 |
| CVE-2020-0089 | A-137015603 | EoP | 中 |
| CVE-2020-0262 | A-156353008 | EoP | 中 |
| CVE-2020-0268 | A-148294643 | EoP | 中 |
| CVE-2020-0271 | A-144507081 | EoP | 中 |
| CVE-2020-0273 | A-155646800 | EoP | 中 |
| CVE-2020-0298 | A-145129266 | EoP | 中 |
| CVE-2020-0299 | A-145130119 | EoP | 中 |
| CVE-2020-0309 | A-147227320 | EoP | 中 |
| CVE-2020-0319 | A-137868765 | EoP | 中 |
| CVE-2020-0326 | A-146453119 | EoP | 中 |
| CVE-2020-0334 | A-147995915 | EoP | 中 |
| CVE-2020-0335 | A-122361504 | EoP | 中 |
| CVE-2020-0347 | A-136658008 | EoP | 中 |
| CVE-2020-0350 | A-139424089 | EoP | 中 |
| CVE-2020-0405 | A-157475111 | EoP | 中 |
| CVE-2021-0846 | A-165596375 | ID | 中 |
| CVE-2021-0846 | A-165596375 | ID | 中 |
| CVE-2020-0263 | A-154913130 | ID | 中 |
| CVE-2020-0265 | A-150155839 | ID | 中 |
| CVE-2020-0269 | A-151645626 | ID | 中 |
| CVE-2020-0272 | A-130166487 | ID | 中 |
| CVE-2020-0276 | A-156253586 | ID | 中 |
| CVE-2020-0281 | A-137857778 | ID | 中 |
| CVE-2020-0282 | A-144506224 | ID | 中 |
| CVE-2020-0284 | A-156253784 | ID | 中 |
| CVE-2020-0285 | A-156253479 | ID | 中 |
| CVE-2020-0286 | A-150214479 | ID | 中 |
| CVE-2020-0291 | A-146032016 | ID | 中 |
| CVE-2020-0292 | A-110107252 | ID | 中 |
| CVE-2020-0295 | A-155650969 | ID | 中 |
| CVE-2020-0300 | A-148736216 | ID | 中 |
| CVE-2020-0302 | A-151646375 | ID | 中 |
| CVE-2020-0304 | A-151645695 | ID | 中 |
| CVE-2020-0307 | A-151645867 | ID | 中 |
| CVE-2020-0310 | A-153356468 | ID | 中 |
| CVE-2020-0311 | A-153878642 | ID | 中 |
| CVE-2020-0313 | A-154917989 | ID | 中 |
| CVE-2020-0315 | A-155642026 | ID | 中 |
| CVE-2020-0316 | A-154934919 | ID | 中 |
| CVE-2020-0325 | A-145079309 | ID | 中 |
| CVE-2020-0327 | A-129151407 | ID | 中 |
| CVE-2020-0331 | A-147309310 | ID | 中 |
| CVE-2020-0348 | A-139188582 | ID | 中 |
| CVE-2020-0349 | A-139188779 | ID | 中 |
| CVE-2020-0365 | A-137346580 | DoS | 中 |
一般的な質問と回答
上記の公開情報に対する一般的な質問とその回答は以下のとおりです。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
デバイスのセキュリティ パッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。
Android 11 の AOSP でのリリース時点におけるデフォルトのセキュリティ パッチレベルは 2020-09-01 です。セキュリティ パッチレベル 2020-09-01 以降の Android 11 を搭載した Android デバイスでは、これらのセキュリティ リリースノートに掲載されているすべての問題に対処しています。
2. 「タイプ」列の項目はどういう意味ですか?
脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。
| 略語 | 定義 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 権限昇格 |
| ID | 情報開示 |
| DoS | サービス拒否 |
| なし | 該当する分類なし |
3. 「参照」列の項目はどういう意味ですか?
脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
バージョン
| バージョン | 日付 | メモ |
|---|---|---|
| 1.0 | 2020 年 8 月 25 日 | セキュリティ リリースノートを公開しました |
| 1.1 | 2020 年 12 月 30 日 | 問題の一覧を更新しました |
| 1.2 | 2021 年 1 月 27 日 | 問題の一覧を更新しました |
| 1.3 | 2021 年 11 月 17 日 | 問題の一覧を更新しました |