Pixel / Nexus のセキュリティに関する公開情報 - 2018 年 3 月

2018 年 3 月 5 日公開 | 2018 年 3 月 7 日更新

Pixel / Nexus のセキュリティに関する公開情報には、サポート対象の Google Pixel および Nexus デバイス(Google デバイス)に影響を与えるセキュリティの脆弱性や機能強化の詳細を掲載しています。Google デバイスでは、セキュリティ パッチレベル 2018-03-05 以降において、この公開情報に掲載されているすべての問題と、2018 年 3 月の Android のセキュリティに関する公開情報に掲載されているすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。

パッチレベル 2018-03-05 へのアップデートは、サポート対象のすべての Google デバイスに送信されます。ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。

注: Google デバイスのファームウェア イメージは、Google デベロッパー サイトで入手できます。

お知らせ

2018 年 3 月の Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性に加えて、Google 端末には、下記のセキュリティの脆弱性に対するパッチも含まれています。パートナーには少なくとも 1 か月前に下記の問題が通知されており、自社のデバイスのアップデートにこれらのパッチを組み込むことができます。

セキュリティ パッチ

脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、脆弱性のタイプ重大度、更新対象の AOSP(Android オープンソース プロジェクト)バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

フレームワーク

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-13263 A-69383160 [2] EoP 8.0、8.1

メディア フレームワーク

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-13264 A-70294343 NSI NSI 7.0、7.1.1、7.1.2、8.0、8.1
DoS 6.0、6.0.1
CVE-2017-13254 A-70239507 NSI NSI 7.0、7.1.1、7.1.2、8.0、8.1
DoS 5.1.1、6.0、6.0.1

システム

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-13265 A-36232423 [2] [3] EoP 7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13268 A-67058064 ID 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13269 A-68818034 ID 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1

カーネル コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-5754 A-69856074* ID メモリ マッピング
CVE-2017-13270 A-69474744* EoP Mnh_sm ドライバ
CVE-2017-13271 A-69006799* EoP Mnh_sm ドライバ
CVE-2017-16527 A-69051382
アップストリーム カーネル
EoP USB サウンド ドライバ
CVE-2017-15649 A-69160446
アップストリーム カーネル [2]
EoP ネットワーク ドライバ
CVE-2017-1000111 A-68806121
アップストリーム カーネル
EoP ネットワーク ドライバ

NVIDIA コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-6287 A-64893264*
N-CVE-2017-6287
ID メディア フレームワーク
CVE-2017-6285 A-64893156*
N-CVE-2017-6285
ID メディア フレームワーク
CVE-2017-6288 A-65482562*
N-CVE-2017-6288
ID メディア フレームワーク

Qualcomm コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-18061 A-70237701
QC-CR#2117246
EoP Wil6210
CVE-2017-18050 A-70237697
QC-CR#2119443
EoP Wma 管理
CVE-2017-18054 A-70237694
QC-CR#2119432
EoP Wma
CVE-2017-18055 A-70237693
QC-CR#2119430
EoP Wma
CVE-2017-18065 A-70237685
QC-CR#2113423
EoP Wma
CVE-2017-18066 A-70235107
QC-CR#2107976
EoP 電源ドライバ
CVE-2017-18062 A-68992451
QC-CR#2115375
EoP Wma
CVE-2018-3561 A-68870904*
QC-CR#2068569
EoP Diagchar
CVE-2018-3560 A-68664502*
QC-CR#2142216
EoP Qdsp6v2 サウンド ドライバ
CVE-2017-15834 A-70237704
QC-CR#2111858
EoP Diagchar
CVE-2017-15833 A-70237702
QC-CR#2059835
EoP 電源ドライバ
CVE-2017-15831 A-70237687
QC-CR#2114255
EoP Wma
CVE-2017-15830 A-70237719
QC-CR#2120725
EoP sme ドライバ
CVE-2017-14889 A-70237700
QC-CR#2119803
EoP Wma
CVE-2017-14887 A-70237715
QC-CR#2119673
EoP WLAN
CVE-2017-14879 A-63851638*
QC-CR#2056307
EoP IPA
CVE-2017-11082 A-66937387
QC-CR#2071560
EoP WLAN
CVE-2017-11074 A-68940798
QC-CR#2049138
EoP WLAN
CVE-2017-18052 A-70237712
QC-CR#2119439
ID WLAN
CVE-2017-18057 A-70237709
QC-CR#2119403
ID WLAN
CVE-2017-18059 A-70237708
QC-CR#2119399
ID WLAN
CVE-2017-18060 A-70237707
QC-CR#2119394
ID WLAN
CVE-2017-18051 A-70237696
QC-CR#2119442
ID WLAN
CVE-2017-18053 A-70237695
QC-CR#2119434
ID WLAN
CVE-2017-18058 A-70237690
QC-CR#2119401
ID WLAN
CVE-2017-15855 A-38232131*
QC-CR#2025367
ID Camera_v2 ドライバ
CVE-2017-15814 A-64836865*
QC-CR#2092793
ID Camera_v2 ドライバ

機能の更新

影響を受ける Pixel デバイス向けに、セキュリティ関連以外の機能の問題に対処する下記のアップデートが組み込まれています。関連する参照先、影響を受けるカテゴリ(Bluetooth やモバイルデータなど)、改善内容、影響を受けるデバイスは、下記の表のとおりです。

参照 カテゴリ 改善内容 デバイス
A-70491468 パフォーマンス 指紋でのロック解除により画面復帰のパフォーマンスを向上 Pixel 2、Pixel 2 XL
A-69307875 オーディオ 動画を撮影する際のオーディオ性能を向上 Pixel 2 XL
A-70641186 レポート クラッシュ レポートを改善 Pixel 2、Pixel 2 XL

一般的な質問と回答

上記の公開情報に対する一般的な質問についての回答は以下のとおりです。

1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?

セキュリティ パッチレベル 2018-03-05 以降では、セキュリティ パッチレベル 2018-03-05 以前のすべてのパッチレベルに関連するすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Google Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。

2. 「タイプ」列の項目はどういう意味ですか?

脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。

略語 定義
RCE リモートコード実行
EoP 権限昇格
ID 情報開示
DoS サービス拒否
なし 該当する分類なし

3. 「参照」列の項目はどういう意味ですか?

脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号

4. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?

公開されていない問題には、「参照」列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに通常含まれています。

5. セキュリティの脆弱性が、この公開情報と「Android のセキュリティに関する公開情報」に分けられているのはなぜですか?

Android デバイスの最新のセキュリティ パッチレベルを宣言するためには、Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要となります。それ以外の、この公開情報などに掲載されているセキュリティの脆弱性への対処は必要ありません。

バージョン

バージョン 日付 メモ
1.0 2018 年 3 月 5 日 情報公開
1.1 2018 年 3 月 7 日 公開情報を改訂し AOSP リンクを追加。また、CVE-2017-15855 の参照番号を更新