Pixel / Nexus のセキュリティに関する公開情報 - 2017 年 12 月

2017 年 12 月 4 日公開 | 2017 年 12 月 6 日更新

Pixel / Nexus のセキュリティに関する公開情報には、サポート対象の Google Pixel および Nexus デバイス(Google デバイス)に影響を与えるセキュリティの脆弱性や機能強化の詳細を掲載しています。2017 年 12 月 5 日以降のセキュリティ パッチ レベルでは、この公開情報に掲載しているすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。

パッチレベル 2017-12-05 へのアップデートは、サポート対象のすべての Google デバイスに送信されます。ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。

注: Google デバイスのファームウェア イメージは、Google デベロッパー サイトで入手できます。

お知らせ

2017 年 12 月の Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性に加えて、Pixel デバイスと Nexus デバイスには、下記のセキュリティの脆弱性に対するパッチも含まれています。パートナーには少なくとも 1 か月前に以下の問題が通知されており、自社のデバイスのアップデートにこれらのパッチを組み込むことができます。

セキュリティ パッチ

脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、脆弱性のタイプ重大度、更新対象の AOSP(Android オープンソース プロジェクト)バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

メディア フレームワーク

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-13154 A-63666573 EoP 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0
CVE-2017-0879 A-65025028 ID 7.0、7.1.1、7.1.2、8.0
DoS 5.1.1、6.0、6.0.1
CVE-2017-13149 A-65719872 ID 7.0、7.1.1、7.1.2、8.0
DoS 5.1.1、6.0、6.0.1
CVE-2017-13150 A-38328132 ID 7.0、7.1.1、7.1.2、8.0
DoS 6.0、6.0.1
CVE-2017-13152 A-62872384 ID 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0

Broadcom コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-13161 A-63930471*
BC-V2017092501
EoP 未定義

カーネル コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-13167 A-37240993* EoP サウンド タイマー
CVE-2017-13163 A-37429972* EoP MTP USB ドライバ
CVE-2017-15868 A-33982955
アップストリーム カーネル
EoP ワイヤレス ドライバ
CVE-2017-13165 A-31269937* EoP ファイル システム
CVE-2017-13166 A-34624167* EoP V4L2 ビデオドライバ
CVE-2017-1000380 A-64217740
アップストリーム カーネル
EoP サウンド タイマー ドライバ
CVE-2017-13168 A-65023233* EoP SCSI ドライバ
CVE-2017-13169 A-37512375* ID カメラ サーバー
CVE-2017-13164 A-36007193* ID Binder ドライバ

MediaTek コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-13172 A-36493287*
M-ALPS03495791
EoP Bluetooth ドライバ

NVIDIA コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-6280 A-63851980*
N-CVE-2017-6280
ID NVIDIA ドライバ
CVE-2017-13175 A-64339309*
N-CVE-2017-13175
ID Libwilhelm

Qualcomm コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-9708 A-62674846*
QC-CR#2081806
EoP カーネル
CVE-2017-11042 A-38232268*
QC-CR#2070438
EoP Binder
CVE-2017-11030 A-64431967
QC-CR#2034255 [2]
EoP ディスプレイ
CVE-2017-9703 A-34329758*
QC-CR#2038086
EoP ビデオドライバ
CVE-2017-9718 A-36386076*
QC-CR#2045918
EoP カーネル
CVE-2017-8244 A-35138888*
QC-CR#2013361
EoP Debugfs ドライバ
CVE-2017-14901 A-65468984
QC-CR#2059714
EoP WLAN
CVE-2017-9698 A-63868678
QC-CR#2023860
EoP グラフィックス
CVE-2017-9700 A-63868780
QC-CR#2043822
EoP オーディオ
CVE-2017-9722 A-64453224
QC-CR#2034239 [2]
EoP ディスプレイ
CVE-2017-11049 A-64728945
QC-CR#2034909
EoP ディスプレイ
CVE-2017-11047 A-64728948
QC-CR#2057285
EoP ディスプレイ
CVE-2017-14898 A-65468978
QC-CR#2054748
EoP WLAN
CVE-2017-14899 A-65468980
QC-CR#2054752
EoP WLAN
CVE-2017-11044 A-65468989
QC-CR#2063166
EoP グラフィックス
CVE-2017-11045 A-65468993
QC-CR#2060377 [2]
EoP カメラ
CVE-2017-14900 A-65468983
QC-CR#2058468
EoP WLAN
CVE-2017-9710 A-63868933
QC-CR#2023883
EoP データ HLOS
CVE-2017-11019 A-64453105
QC-CR#2030638
EoP ディスプレイ
CVE-2017-11016 A-64453423
QC-CR#2038685
EoP オーディオ
CVE-2017-11033 A-64453422
QC-CR#2031930 [2]
EoP カーネル
CVE-2017-14896 A-65468975
QC-CR#2013716
EoP GUD mobicore ドライバ
CVE-2017-8281 A-62378232
QC-CR#2015892
ID DCI ドライバ
CVE-2017-14903 A-63522505*
QC-CR#2088768
ID WLAN
CVE-2017-11031 A-64442463
QC-CR#2059181
ID ディスプレイ
CVE-2017-14905 A-37719782
QC-CR#2061251
ID ワイヤレス ネットワーク

Qualcomm クローズドソース コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-14907 A-62212113* N/A 重大 クローズドソース コンポーネント
CVE-2016-5341 A-63983006* N/A クローズドソース コンポーネント
CVE-2017-9709 A-65944335* N/A クローズドソース コンポーネント
CVE-2017-15813 A-63979947* N/A クローズドソース コンポーネント

機能の更新

Android 8.1 のアップデートは、12 月の OTA の一部としてサポート対象のすべての Google デバイスに送信されます。Android 8.1 には、Android プラットフォームの各種パーツに対する多くの機能更新や機能強化が含まれています。

一般的な質問と回答

上記の公開情報に対する一般的な質問についての回答は以下のとおりです。

1. 上述の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?

セキュリティ パッチレベル 2017-12-05 以降では、セキュリティ パッチレベル 2017-12-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。

2. 「タイプ」列の項目はどういう意味ですか?

脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。

略語 定義
RCE リモートコード実行
EoP 権限昇格
ID 情報開示
DoS サービス拒否
なし 該当する分類なし

3. 「参照」列の項目はどういう意味ですか?

脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号

4. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?

公開されていない問題には、「参照」列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに通常含まれています。

5. セキュリティの脆弱性が、この公開情報と「Android のセキュリティに関する公開情報」に分けられているのはなぜですか?

Android デバイスの最新のセキュリティ パッチレベルを宣言するためには、Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要となります。それ以外の、この公開情報などに掲載されているセキュリティの脆弱性への対処は必要ありません。

バージョン

バージョン 日付 メモ
1.0 2017 年 12 月 4 日 情報公開
1.1 2017 年 12 月 5 日 公開情報を更新し、ファームウェア イメージへのリンクと機能更新に関する詳細情報を追加
1.2 2017 年 12 月 6 日 公開情報を改訂し AOSP リンクを追加