Pixel / Nexus のセキュリティに関する公開情報 - 2017 年 11 月

2017 年 11 月 6 日公開 | 2017 年 11 月 8 日更新

Pixel / Nexus のセキュリティに関する公開情報には、サポート対象の Google Pixel および Nexus デバイス(Google デバイス)に影響を与えるセキュリティの脆弱性や機能強化の詳細を掲載しています。Google デバイスでは、セキュリティ パッチレベル 2017-11-05 以降において、この公開情報に掲載しているすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。

パッチレベル 2017-11-05 へのアップデートは、サポート対象のすべての Google デバイスに送信されます。ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。

注: Google デバイスのファームウェア イメージは、Google デベロッパー サイトで入手できます。

お知らせ

2017 年 11 月の Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性に加えて、Pixel デバイスと Nexus デバイスには、以下のセキュリティの脆弱性に対するパッチも含まれています。パートナーには少なくとも 1 か月前に以下の問題が通知されており、自社のデバイスのアップデートにこれらのパッチを組み込むことができます。

セキュリティ パッチ

脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、脆弱性のタイプ重大度、更新対象の AOSP(Android オープンソース プロジェクト)バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。

フレームワーク

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-0845 A-35028827 DoS 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2

メディア フレームワーク

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-0838 A-63522818 EoP 7.0、7.1.1、7.1.2
CVE-2017-0852 A-62815506 DoS 5.0.2、5.1.1、6.0
CVE-2017-0847 A-65540999 EoP 8.0
CVE-2017-0848 A-64477217 ID 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0
CVE-2017-0849 A-62688399 ID 6.0、6.0.1、7.0、7.1.1、7.1.2、8.0
CVE-2017-0850 A-64836941* ID 7.0、7.1.1、7.1.2
CVE-2017-0851 A-35430570 ID 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0
CVE-2017-0853 A-63121644 ID 7.0、7.1.1、7.1.2、8.0
DoS 6.0、6.0.1
CVE-2017-0854 A-63873837 ID 7.0、7.1.1、7.1.2、8.0
DoS 6.0、6.0.1
CVE-2017-0857 A-65122447 NSI NSI 7.0、7.1.1、7.1.2、8.0
DoS 6.0、6.0.1
CVE-2017-0858 A-64836894 NSI NSI 7.0、7.1.1、7.1.2、8.0
DoS 6.0、6.0.1
CVE-2017-0859 A-36075131* NSI NSI 7.0、7.1.1、7.1.2
DoS 6.0、6.0.1

ランタイム

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2016-2105 A-63710022* RCE 5.0.2、5.1.1
CVE-2016-2106 A-63709511* RCE 5.0.2、5.1.1
CVE-2017-3731 A-63710076* ID 5.0.2、5.1.1

システム

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-0860 A-31097064 EoP 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2

カーネル コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-6001 A-37901413
アップストリーム カーネル
EoP コアカーネル
CVE-2017-0861 A-36006981* EoP オーディオ ドライバ
CVE-2017-0862 A-36006779* EoP カーネル
CVE-2017-11600 A-64257838
アップストリーム カーネル
EoP ネットワーク サブシステム
CVE-2017-0863 A-37950620* EoP ビデオドライバ

MediaTek コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-0864 A-37277147*
M-ALPS03394571
EoP IoCtl(ライト)
CVE-2017-0865 A-65025090*
M-ALPS02973195
EoP SoC ドライバ

NVIDIA コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-0866 A-38415808*
N-CVE-2017-0866
EoP ダイレクト レンダリング インフラストラクチャ
CVE-2017-6274 A-34705801*
N-CVE-2017-6274
EoP サーマル ドライバ
CVE-2017-6275 A-34702397*
N-CVE-2017-6275
ID サーマル ドライバ

Qualcomm コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-11073 A-62084791*
QC-CR#2064767
EoP ネットワーク サブシステム
CVE-2017-11035 A-64431968
QC-CR#2055659 [2]
EoP WLAN
CVE-2017-11012 A-64455446
QC-CR#2054760
EoP WLAN
CVE-2017-11085 A-62952032*
QC-CR#2077909
EoP オーディオ
CVE-2017-11091 A-37478866*
QC-CR#2064235
EoP ビデオドライバ
CVE-2017-11026 A-64453104
QC-CR#1021460
EoP Linux ブート
CVE-2017-11038 A-35888677*
QC-CR#2034087
EoP メモリ サブシステム
CVE-2017-11032 A-64431966
QC-CR#1051435
EoP Linux カーネル
CVE-2017-9719 A-64438726
QC-CR#2042697 [2]
EoP ディスプレイ
CVE-2017-11024 A-64441352
QC-CR#2031178
EoP 有線接続
CVE-2017-11025 A-64440043
QC-CR#2013494
EoP オーディオ
CVE-2017-11023 A-64434485
QC-CR#2029216
EoP サービス
CVE-2017-11029 A-64433362
QC-CR#2025367 [2]
EoP カメラ
CVE-2017-11018 A-64441628
QC-CR#897844
EoP カメラ
CVE-2017-9721 A-64441353
QC-CR#2039552
EoP ディスプレイ
CVE-2017-9702 A-36492827*
QC-CR#2037398
EoP カメラ
CVE-2017-11089 A-36819059*
QC-CR#2055013
ID WLAN
CVE-2017-8239 A-36251230*
QC-CR#1091603
ID カメラ
CVE-2017-11090 A-36818836*
QC-CR#2061676
ID WLAN
CVE-2017-11093 A-37625232*
QC-CR#2077623
ID HDMI
CVE-2017-8279 A-62378962
QC-CR#2015227
ID サービス
CVE-2017-9696 A-36232584*
QC-CR#2029867
ID カーネル
CVE-2017-11058 A-37718081
QC-CR#2061251
ID WLAN
CVE-2017-11022 A-64440918
QC-CR#1086582 [2]
ID WLAN
CVE-2017-9701 A-63868730
QC-CR#2038992
ID Linux ブート
CVE-2017-11027 A-64453534
QC-CR#2055630
ID Linux ブート

機能の更新

影響を受ける Pixel デバイス向けに、セキュリティ関連以外の機能の問題に対処する以下のアップデートが組み込まれています。関連する参照先、影響を受けるカテゴリ(Bluetooth やモバイルデータなど)、改善内容を以下の表にまとめています。

参照 カテゴリ 改善内容
A-65225835 オーディオ 一部の地域での音量に関する警告のしきい値が調整されました。
A-37943083 Bluetooth AVRCP バージョン 1.3 のみをサポートする Bluetooth デバイスに関する改善を行いました。
A-63790458 Bluetooth ヘッドセットの接続のペア設定が改善されました。
A-64142363 Bluetooth 一部の Bluetooth 車載キットでの曲情報の表示が改善されました。
A-64991621 Bluetooth 一部の車載キットのメタデータが改善されました。
A-65223508 Bluetooth 一部の車載キットに対する Bluetooth 接続が改善されました。
A-65463237 Bluetooth BLE のマジック テザリングが改善されました。
A-64977836 カメラ 動画撮影時のオートフォーカスが改善されました。
A-65099590 カメラ 前面カメラの反応速度が改善されました。
A-68159303 ディスプレイ ディスプレイのカラーモードの設定が調整されました。
A-68254840 ディスプレイ ディスプレイの明るさの設定が調整されました。
A-68279369 ディスプレイ ナビゲーションバーの明るさが調整されました。
A-64103722 モバイルデータ YouTube のモバイルデータと Wi-Fi の切り替えが調整されました。
A-65113738 モバイルデータ 3 Network でモバイルデータを調整しました。
A-37187694 安定性 アプリの安定性が改善されました。
A-67959484 安定性 通話の品質を調整しました。

一般的な質問と回答

上記の公開情報に対する一般的な質問についての回答は以下のとおりです。

1. 上述の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?

セキュリティ パッチレベル 2017-11-05 以降では、セキュリティ パッチレベル 2017-11-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。

2. 「タイプ」列の項目はどういう意味ですか?

脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。

略語 定義
RCE リモートコード実行
EoP 権限昇格
ID 情報開示
DoS サービス拒否
なし 該当する分類なし

3. 「参照」列の項目はどういう意味ですか?

脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号

4. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?

公開されていない問題には、「参照」列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに通常含まれています。

5. セキュリティの脆弱性が、この公開情報と「Android のセキュリティに関する公開情報」に分けられているのはなぜですか?

Android デバイスの最新のセキュリティ パッチレベルを宣言するためには、Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要となります。それ以外の、この公開情報などに掲載されているセキュリティの脆弱性への対処は必要ありません。

バージョン

バージョン 日付 メモ
1.0 2017 年 11 月 6 日 情報公開
1.1 2017 年 11 月 8 日 情報を更新し AOSP のリンクと機能の更新に関する詳細情報を追加