Pixel / Nexus のセキュリティに関する公開情報 - 2018 年 2 月

2018 年 2 月 5 日公開 | 2018 年 4 月 30 日更新

Pixel / Nexus のセキュリティに関する公開情報には、サポート対象の Google Pixel および Nexus デバイス(Google デバイス)に影響を与えるセキュリティの脆弱性や機能強化の詳細を掲載しています。Google デバイスでは、セキュリティ パッチレベル 2018-02-05 以降において、この公開情報に掲載されているすべての問題と、2018 年 2 月の Android のセキュリティに関する公開情報に掲載されているすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。

パッチレベル 2018-02-05 へのアップデートは、サポート対象のすべての Google デバイスに送信されます。ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。

注: Google デバイスのファームウェア イメージは、Google デベロッパー サイトで入手できます。

お知らせ

2018 年 2 月の Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性に加えて、Pixel 端末と Nexus 端末には、下記のセキュリティの脆弱性に対するパッチも含まれています。パートナーには少なくとも 1 か月前に下記の問題が通知されており、パートナーはデバイスのアップデートにこうしたパッチを組み込むことができます。

セキュリティ パッチ

脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、脆弱性のタイプ重大度、更新対象の AOSP(Android オープンソース プロジェクト)バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

フレームワーク

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-13239 A-66244132* ID 8.0
CVE-2017-13240 A-68694819 ID 8.0、8.1

メディア フレームワーク

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-13241 A-69065651 ID 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13229 A-68160703 RCE 7.0、7.1.1、7.1.2、8.0、8.1
RCE 重大 5.1.1、6.0、6.0.1
CVE-2017-13235 A-68342866 NSI NSI 7.0、7.1.1、7.1.2、8.0、8.1
DoS 5.1.1、6.0、6.0.1

システム

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-13242 A-62672248 [2] ID 6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13243 A-38258991* ID 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0

カーネル コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-13244 A-62678986* EoP イーゼル
CVE-2017-13245 A-64315347* EoP オーディオ ドライバ
CVE-2017-1000405 A-69934280
アップストリーム カーネル
EoP ページ管理
CVE-2017-13246 A-36279469* ID ネットワーク ドライバ

Qualcomm コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-15817 A-68992394
QC-CR#2076603 [2]
RCE 重大 WLAN
CVE-2017-15859 A-65468985
QC-CR#2059715
ID qcacld-2.0
CVE-2017-17769 A-65172622*
QC-CR#2110256
ID qdsp6v2
CVE-2017-9723 A-68992479
QC-CR#2007828
EoP synaptics_dsx_htc タッチスクリーン ドライバ
CVE-2017-14881 A-68992478
QC-CR#2087492 [2]
EoP IPA ドライバ
CVE-2017-14877 A-68992473
QC-CR#2057803 [2]
EoP IPA ドライバ
CVE-2017-15826 A-68992471
QC-CR#2100085 [2]
EoP MDSS ローテーター
CVE-2017-14876 A-68992468
QC-CR#2054041
EoP MSM camera_v2 ドライバ
CVE-2017-14892 A-68992455
QC-CR#2096407
EoP qdsp6v2
CVE-2017-17766 A-68992448
QC-CR#2115366
EoP Wi-Fi
CVE-2017-15823 A-68992447
QC-CR#2115365
EoP Wi-Fi
CVE-2017-15852 A-36730614*
QC-CR#2028702
EoP フレームバッファ
CVE-2017-15846 A-67713103
QC-CR#2083314 [2]
EoP カメラ
CVE-2017-14883 A-68992426
QC-CR#2112832
EoP 電源
CVE-2017-11043 A-68992421
QC-CR#2091584
EoP Wi-Fi
CVE-2017-14875 A-68992465
QC-CR#2042147
ID カメラ
CVE-2017-14891 A-68992453
QC-CR#2096006
ID KGSL
CVE-2017-17771 A-38196031
QC-CR#2003798
EoP カメラドライバ
CVE-2017-11087 A-34735194*
QC-CR#2053869
ID メディア フレームワーク

機能の更新

影響を受ける Pixel デバイス向けに、セキュリティ関連以外の機能の問題に対処する下記のアップデートが組み込まれています。関連する参照先、影響を受けるカテゴリ(Bluetooth やモバイルデータなど)、改善内容、影響を受けるデバイスは、下記の表のとおりです。

参照 カテゴリ 改善内容 端末
A-68863351 UX 設定アプリのアイコンを改善。 すべて
A-68198663 Bluetooth 一部のヘッドセットの Bluetooth 通話品質を改善。 Pixel、Pixel XL、Pixel 2、Pixel 2 XL
A-68317240 Wi-Fi Wi-Fi アップリンクのパフォーマンスを改善。 Pixel 2、Pixel 2 XL
A-69263786 カメラ 特定の光条件におけるカメラ性能を改善。 Pixel 2、Pixel 2 XL
A-67844294 Android Auto 一部の自動車における Android Auto 対応パフォーマンスを改善。 Pixel 2、Pixel 2 XL
A-69349260 アプリの互換性 バイト配列からの RSA キー解析を改善。 すべて
A-68832228 電源 一部の Pixel 2 XL 端末の電池性能を改善。 Pixel 2 XL
A-69797895 モバイルデータ 特定のネットワーク環境における Telus ユーザーのデータ パフォーマンスを改善。 Pixel 2
A-68368139 安定性 特定の状況で起動した後の端末の安定性を改善。 Pixel 2、Pixel 2 XL
A-68874871 音声 音声出力の切り替え時のルーティングを改善。 Pixel 2、Pixel 2 XL

一般的な質問と回答

上記の公開情報に対する一般的な質問についての回答は以下のとおりです。

1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?

セキュリティ パッチレベル 2018-02-05 以降では、セキュリティ パッチレベル 2018-02-05 以前のすべてのパッチレベルに関連するすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。

2. 「タイプ」列の項目はどういう意味ですか?

脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。

略語 定義
RCE リモートコード実行
EoP 権限昇格
ID 情報開示
DoS サービス拒否
なし 該当する分類なし

3. 「参照」列の項目はどういう意味ですか?

脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号

4. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?

公開されていない問題には、「参照」列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに通常含まれています。

5. セキュリティの脆弱性が、この公開情報と「Android のセキュリティに関する公開情報」に分けられているのはなぜですか?

Android デバイスの最新のセキュリティ パッチレベルを宣言するためには、Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要となります。それ以外の、この公開情報などに掲載されているセキュリティの脆弱性への対処は必要ありません。

バージョン

バージョン 日付 メモ
1.0 2018 年 2 月 5 日 情報公開
1.1 2018 年 2 月 7 日 公開情報を改訂し AOSP リンクを追加
1.3 2018 年 4 月 2 日 CVE-2017-15817 を 2 月の Android に関する公開情報から 2 月の Pixel に関する公開情報に移動
1.4 2018 年 4 月 30 日 CVE-2017-15852 を CR 2046770 から CR 2028702 に更新