2017 年 11 月 6 日公開 | 2017 年 11 月 8 日更新
Pixel / Nexus のセキュリティに関する公開情報には、サポート対象の Google Pixel および Nexus デバイス(Google デバイス)に影響を与えるセキュリティの脆弱性や機能強化の詳細を掲載しています。Google デバイスでは、セキュリティ パッチレベル 2017-11-05 以降において、この公開情報に掲載しているすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。
パッチレベル 2017-11-05 へのアップデートは、サポート対象のすべての Google デバイスに送信されます。ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。
注: Google デバイスのファームウェア イメージは、Google デベロッパー サイトで入手できます。
お知らせ
2017 年 11 月の Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性に加えて、Pixel デバイスと Nexus デバイスには、以下のセキュリティの脆弱性に対するパッチも含まれています。パートナーには少なくとも 1 か月前に以下の問題が通知されており、自社のデバイスのアップデートにこれらのパッチを組み込むことができます。
セキュリティ パッチ
脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、脆弱性のタイプ、重大度、更新対象の AOSP(Android オープンソース プロジェクト)バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。
フレームワーク
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2017-0845 | A-35028827 | DoS | 中 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
メディア フレームワーク
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2017-0838 | A-63522818 | EoP | 高 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0852 | A-62815506 | DoS | 高 | 5.0.2、5.1.1、6.0 |
| CVE-2017-0847 | A-65540999 | EoP | 中 | 8.0 |
| CVE-2017-0848 | A-64477217 | ID | 中 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0 |
| CVE-2017-0849 | A-62688399 | ID | 中 | 6.0、6.0.1、7.0、7.1.1、7.1.2、8.0 |
| CVE-2017-0850 | A-64836941* | ID | 中 | 7.0、7.1.1、7.1.2 |
| CVE-2017-0851 | A-35430570 | ID | 中 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0 |
| CVE-2017-0853 | A-63121644 | ID | 中 | 7.0、7.1.1、7.1.2、8.0 |
| DoS | 高 | 6.0、6.0.1 | ||
| CVE-2017-0854 | A-63873837 | ID | 中 | 7.0、7.1.1、7.1.2、8.0 |
| DoS | 高 | 6.0、6.0.1 | ||
| CVE-2017-0857 | A-65122447 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0 |
| DoS | 高 | 6.0、6.0.1 | ||
| CVE-2017-0858 | A-64836894 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0 |
| DoS | 高 | 6.0、6.0.1 | ||
| CVE-2017-0859 | A-36075131* | NSI | NSI | 7.0、7.1.1、7.1.2 |
| DoS | 高 | 6.0、6.0.1 |
ランタイム
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2016-2105 | A-63710022* | RCE | 中 | 5.0.2、5.1.1 |
| CVE-2016-2106 | A-63709511* | RCE | 中 | 5.0.2、5.1.1 |
| CVE-2017-3731 | A-63710076* | ID | 中 | 5.0.2、5.1.1 |
システム
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2017-0860 | A-31097064 | EoP | 中 | 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 |
カーネル コンポーネント
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-6001 | A-37901413 アップストリーム カーネル |
EoP | 中 | コアカーネル |
| CVE-2017-0861 | A-36006981* | EoP | 中 | オーディオ ドライバ |
| CVE-2017-0862 | A-36006779* | EoP | 中 | カーネル |
| CVE-2017-11600 | A-64257838 アップストリーム カーネル |
EoP | 中 | ネットワーク サブシステム |
| CVE-2017-0863 | A-37950620* | EoP | 中 | ビデオドライバ |
MediaTek コンポーネント
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-0864 | A-37277147* M-ALPS03394571 |
EoP | 中 | IoCtl(ライト) |
| CVE-2017-0865 | A-65025090* M-ALPS02973195 |
EoP | 中 | SoC ドライバ |
NVIDIA コンポーネント
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-0866 | A-38415808* N-CVE-2017-0866 |
EoP | 中 | ダイレクト レンダリング インフラストラクチャ |
| CVE-2017-6274 | A-34705801* N-CVE-2017-6274 |
EoP | 中 | サーマル ドライバ |
| CVE-2017-6275 | A-34702397* N-CVE-2017-6275 |
ID | 中 | サーマル ドライバ |
Qualcomm コンポーネント
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-11073 | A-62084791* QC-CR#2064767 |
EoP | 中 | ネットワーク サブシステム |
| CVE-2017-11035 | A-64431968 QC-CR#2055659 [2] |
EoP | 中 | WLAN |
| CVE-2017-11012 | A-64455446 QC-CR#2054760 |
EoP | 中 | WLAN |
| CVE-2017-11085 | A-62952032* QC-CR#2077909 |
EoP | 中 | オーディオ |
| CVE-2017-11091 | A-37478866* QC-CR#2064235 |
EoP | 中 | ビデオドライバ |
| CVE-2017-11026 | A-64453104 QC-CR#1021460 |
EoP | 中 | Linux ブート |
| CVE-2017-11038 | A-35888677* QC-CR#2034087 |
EoP | 中 | メモリ サブシステム |
| CVE-2017-11032 | A-64431966 QC-CR#1051435 |
EoP | 中 | Linux カーネル |
| CVE-2017-9719 | A-64438726 QC-CR#2042697 [2] |
EoP | 中 | ディスプレイ |
| CVE-2017-11024 | A-64441352 QC-CR#2031178 |
EoP | 中 | 有線接続 |
| CVE-2017-11025 | A-64440043 QC-CR#2013494 |
EoP | 中 | オーディオ |
| CVE-2017-11023 | A-64434485 QC-CR#2029216 |
EoP | 中 | サービス |
| CVE-2017-11029 | A-64433362 QC-CR#2025367 [2] |
EoP | 中 | カメラ |
| CVE-2017-11018 | A-64441628 QC-CR#897844 |
EoP | 中 | カメラ |
| CVE-2017-9721 | A-64441353 QC-CR#2039552 |
EoP | 中 | ディスプレイ |
| CVE-2017-9702 | A-36492827* QC-CR#2037398 |
EoP | 中 | カメラ |
| CVE-2017-11089 | A-36819059* QC-CR#2055013 |
ID | 中 | WLAN |
| CVE-2017-8239 | A-36251230* QC-CR#1091603 |
ID | 中 | カメラ |
| CVE-2017-11090 | A-36818836* QC-CR#2061676 |
ID | 中 | WLAN |
| CVE-2017-11093 | A-37625232* QC-CR#2077623 |
ID | 中 | HDMI |
| CVE-2017-8279 | A-62378962 QC-CR#2015227 |
ID | 中 | サービス |
| CVE-2017-9696 | A-36232584* QC-CR#2029867 |
ID | 中 | カーネル |
| CVE-2017-11058 | A-37718081 QC-CR#2061251 |
ID | 中 | WLAN |
| CVE-2017-11022 | A-64440918 QC-CR#1086582 [2] |
ID | 中 | WLAN |
| CVE-2017-9701 | A-63868730 QC-CR#2038992 |
ID | 中 | Linux ブート |
| CVE-2017-11027 | A-64453534 QC-CR#2055630 |
ID | 中 | Linux ブート |
機能の更新
影響を受ける Pixel デバイス向けに、セキュリティ関連以外の機能の問題に対処する以下のアップデートが組み込まれています。関連する参照先、影響を受けるカテゴリ(Bluetooth やモバイルデータなど)、改善内容を以下の表にまとめています。
| 参照 | カテゴリ | 改善内容 |
|---|---|---|
| A-65225835 | オーディオ | 一部の地域での音量に関する警告のしきい値が調整されました。 |
| A-37943083 | Bluetooth | AVRCP バージョン 1.3 のみをサポートする Bluetooth デバイスに関する改善を行いました。 |
| A-63790458 | Bluetooth | ヘッドセットの接続のペア設定が改善されました。 |
| A-64142363 | Bluetooth | 一部の Bluetooth 車載キットでの曲情報の表示が改善されました。 |
| A-64991621 | Bluetooth | 一部の車載キットのメタデータが改善されました。 |
| A-65223508 | Bluetooth | 一部の車載キットに対する Bluetooth 接続が改善されました。 |
| A-65463237 | Bluetooth | BLE のマジック テザリングが改善されました。 |
| A-64977836 | カメラ | 動画撮影時のオートフォーカスが改善されました。 |
| A-65099590 | カメラ | 前面カメラの反応速度が改善されました。 |
| A-68159303 | ディスプレイ | ディスプレイのカラーモードの設定が調整されました。 |
| A-68254840 | ディスプレイ | ディスプレイの明るさの設定が調整されました。 |
| A-68279369 | ディスプレイ | ナビゲーションバーの明るさが調整されました。 |
| A-64103722 | モバイルデータ | YouTube のモバイルデータと Wi-Fi の切り替えが調整されました。 |
| A-65113738 | モバイルデータ | 3 Network でモバイルデータを調整しました。 |
| A-37187694 | 安定性 | アプリの安定性が改善されました。 |
| A-67959484 | 安定性 | 通話の品質を調整しました。 |
一般的な質問と回答
上記の公開情報に対する一般的な質問についての回答は以下のとおりです。
1. 上述の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
セキュリティ パッチレベル 2017-11-05 以降では、セキュリティ パッチレベル 2017-11-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。
2. 「タイプ」列の項目はどういう意味ですか?
脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。
| 略語 | 定義 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 権限昇格 |
| ID | 情報開示 |
| DoS | サービス拒否 |
| なし | 該当する分類なし |
3. 「参照」列の項目はどういう意味ですか?
脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
| QC- | Qualcomm の参照番号 |
| M- | MediaTek の参照番号 |
| N- | NVIDIA の参照番号 |
| B- | Broadcom の参照番号 |
4. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?
公開されていない問題には、「参照」列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに通常含まれています。
5. セキュリティの脆弱性が、この公開情報と「Android のセキュリティに関する公開情報」に分けられているのはなぜですか?
Android デバイスの最新のセキュリティ パッチレベルを宣言するためには、Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要となります。それ以外の、この公開情報などに掲載されているセキュリティの脆弱性への対処は必要ありません。
バージョン
| バージョン | 日付 | メモ |
|---|---|---|
| 1.0 | 2017 年 11 月 6 日 | 情報公開 |
| 1.1 | 2017 年 11 月 8 日 | 情報を更新し AOSP のリンクと機能の更新に関する詳細情報を追加 |