2018 年 1 月 2 日公開 | 2018 年 1 月 29 日更新
Google Pixel / Nexus のセキュリティに関する公開情報には、サポート対象の Google Pixel および Nexus デバイス(Google デバイス)に影響を与えるセキュリティの脆弱性や機能強化の詳細を掲載しています。Google デバイスでは、セキュリティ パッチレベル 2018-01-05 以降において、この公開情報に掲載されているすべての問題と、2018 年 1 月の Android のセキュリティに関する公開情報に掲載されているすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。
パッチレベル 2018-01-05 へのアップデートは、サポート対象のすべての Google デバイスに送信されます。ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。
注: Google デバイスのファームウェア イメージは、Google デベロッパー サイトで入手できます。
お知らせ
2018 年 1 月の Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性に加えて、Google Pixel デバイスと Nexus デバイスには、以下のセキュリティの脆弱性に対するパッチも含まれています。パートナーには少なくとも 1 か月前に下記の問題が通知されており、自社のデバイスのアップデートにこれらのパッチを組み込むことができます。
セキュリティ パッチ
脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、脆弱性のタイプ、重大度、更新対象の AOSP(Android オープンソース プロジェクト)バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。
フレームワーク
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2017-0846 | A-64934810 [2] | ID | 中 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0 |
メディア フレームワーク
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2017-13201 | A-63982768 | ID | 中 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2017-13202 | A-67647856 | ID | 中 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2017-13206 | A-65025048 | ID | 中 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2017-13207 | A-37564426 | ID | 中 | 7.0、7.1.1、7.1.2、8.0 |
| CVE-2017-13185 | A-65123471 | ID | 中 | 7.0、7.1.1、7.1.2、8.0 |
| DoS | 高 | 5.1.1、6.0、6.0.1 | ||
| CVE-2017-13187 | A-65034175 | ID | 中 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 5.1.1、6.0、6.0.1 | ||
| CVE-2017-13188 | A-65280786 | ID | 中 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 5.1.1、6.0、6.0.1 | ||
| CVE-2017-13203 | A-63122634 | ID | 中 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 6.0、6.0.1 | ||
| CVE-2017-13204 | A-64380237 | ID | 中 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 6.0、6.0.1 | ||
| CVE-2017-13205 | A-64550583 | ID | 中 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 6.0、6.0.1 | ||
| CVE-2017-13200 | A-63100526 | ID | 低 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| ID | 中 | 5.1.1、6.0、6.0.1 | ||
| CVE-2017-13186 | A-65735716 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 6.0、6.0.1 | ||
| CVE-2017-13189 | A-68300072 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 6.0.1 | ||
| CVE-2017-13190 | A-68299873 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 6.0.1 | ||
| CVE-2017-13194 | A-64710201 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 5.1.1、6.0、6.0.1 | ||
| CVE-2017-13198 | A-68399117 | NSI | NSI | 7.0、7.1.1、7.1.2、8.0、8.1 |
| DoS | 高 | 5.1.1、6.0、6.0.1 |
システム
| CVE | 参照 | タイプ | 重大度 | 更新対象の AOSP バージョン |
|---|---|---|---|---|
| CVE-2017-13212 | A-62187985 | EoP | 中 | 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0 |
Broadcom コンポーネント
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-13213 | A-63374465* B-V2017081501 |
EoP | 中 | Bcmdhd ドライバ |
HTC コンポーネント
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-11072 | A-65468991* | EoP | 中 | パーティション テーブル アップデータ |
カーネル コンポーネント
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-13219 | A-62800865* | DoS | 中 | Synaptics タッチスクリーン コントローラ |
| CVE-2017-13220 | A-63527053* | EoP | 中 | BlueZ |
| CVE-2017-13221 | A-64709938* | EoP | 中 | Wi-Fi ドライバ |
| CVE-2017-11473 | A-64253928 アップストリーム カーネル |
EoP | 中 | カーネル |
| CVE-2017-13222 | A-38159576* | ID | 中 | カーネル |
| CVE-2017-14140 | A-65468230 アップストリーム カーネル |
ID | 中 | カーネル |
| CVE-2017-15537 | A-68805943 アップストリーム カーネル |
ID | 中 | カーネル |
MediaTek コンポーネント
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-13225 | A-38308024* M-ALPS03495789 |
EoP | 高 | MTK Media |
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-13226 | A-32591194* M-ALPS03149184 |
EoP | 中 | MTK |
Qualcomm コンポーネント
| CVE | 参照 | タイプ | 重大度 | コンポーネント |
|---|---|---|---|---|
| CVE-2017-9705 | A-67713091 QC-CR#2059828 |
EoP | 中 | SoC ドライバ |
| CVE-2017-15847 | A-67713087 QC-CR#2070309 |
EoP | 中 | SoC ドライバ |
| CVE-2017-15848 | A-67713083 QC-CR#2073777 |
EoP | 中 | ドライバ |
| CVE-2017-11081 | A-67713113 QC-CR#2077622 |
EoP | 中 | WLAN |
| CVE-2017-15845 | A-67713111 QC-CR#2072966 |
EoP | 中 | WLAN |
| CVE-2017-14873 | A-67713104 QC-CR#2057144 [ 2] |
EoP | 中 | グラフィックス ドライバ |
| CVE-2017-11035 | A-67713108 QC-CR#2070583 |
EoP | 中 | ワイヤレス ドライバ |
| CVE-2017-11003 | A-64439673 QC-CR#2026193 |
EoP | 中 | ブートローダー |
| CVE-2017-9689 | A-62828527 QC-CR#2037019 |
EoP | 中 | HDMI ドライバ |
| CVE-2017-14879 | A-63890276* QC-CR#2056307 |
EoP | 中 | IPA ドライバ |
| CVE-2017-11080 | A-66937382 QC-CR#2078272 |
EoP | 中 | ブートローダー |
| CVE-2017-14869 | A-67713093 QC-CR#2061498 |
ID | 中 | ブートローダー |
| CVE-2017-11066 | A-65468971 QC-CR#2068506 |
ID | 中 | ブートローダー |
| CVE-2017-15850 | A-62464339* QC-CR#2113240 |
ID | 中 | マイクドライバ |
| CVE-2017-9712 | A-63868883 QC-CR#2033195 |
ID | 中 | ワイヤレス ドライバ |
| CVE-2017-11079 | A-67713100 QC-CR#2078342 |
ID | 中 | ブートローダー |
| CVE-2017-14870 | A-67713096 QC-CR#2061506 |
ID | 中 | ブートローダー |
| CVE-2017-11079 | A-66937383 QC-CR#2078342 |
ID | 中 | ブートローダー |
機能の更新
影響を受ける Google Pixel デバイス向けに、セキュリティ関連以外の機能の問題に対処する下記のアップデートが組み込まれています。関連する参照先、影響を受けるカテゴリ(Bluetooth やモバイルデータなど)、改善内容を下記の表にまとめています。
| 参照 | カテゴリ | 改善内容 |
|---|---|---|
| A-68810306 | キーストア | キーストアにおけるキーのアップグレード処理を調整しました。 |
| A-70213235 | 安定性 | OTA のインストール後の安定性とパフォーマンスを改善しました。 |
一般的な質問と回答
上記の公開情報に対する一般的な質問についての回答は以下のとおりです。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
セキュリティ パッチレベル 2018-01-05 以降では、セキュリティ パッチレベル 2018-01-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Google Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。
2. 「タイプ」列の項目はどういう意味ですか?
脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。
| 略語 | 定義 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 権限昇格 |
| ID | 情報開示 |
| DoS | サービス拒否攻撃 |
| なし | 該当する分類なし |
3. 「参照」列の項目はどういう意味ですか?
脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
| QC- | Qualcomm の参照番号 |
| M- | MediaTek の参照番号 |
| N- | NVIDIA の参照番号 |
| B- | Broadcom の参照番号 |
4. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?
公開されていない問題には、「参照」列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに通常含まれています。
5. セキュリティの脆弱性が、この公開情報と「Android のセキュリティに関する公開情報」に分けられているのはなぜですか?
Android デバイスの最新のセキュリティ パッチレベルを宣言するためには、Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要となります。それ以外の、この公開情報などに掲載されているセキュリティの脆弱性への対処は必要ありません。
バージョン
| バージョン | 日付 | メモ |
|---|---|---|
| 1.0 | 2018 年 1 月 2 日 | 情報公開 |
| 1.1 | 2018 年 1 月 5 日 | 公開情報を改訂し AOSP リンクを追加 |
| 1.2 | 2018 年 1 月 29 日 | CVE-2017-13225 を追加 |