2018 年 7 月 2 日発行 | 2018年11月8日更新
Pixel / Nexus のセキュリティ情報には、サポートされている Google Pixel および Nexus デバイス(Google デバイス) に影響を与えるセキュリティの脆弱性と機能改善の詳細が含まれています。 Google デバイスの場合、セキュリティ パッチ レベル 2018-07-05 以降は、このセキュリティ情報のすべての問題と 2018 年 7 月の Android セキュリティ情報のすべての問題に対処します。デバイスのセキュリティ パッチ レベルを確認する方法については、 「Android バージョンの確認と更新」を参照してください。
サポートされているすべての Google デバイスは、2018-07-05 パッチ レベルへのアップデートを受け取ります。すべてのお客様に、デバイスに対するこれらのアップデートを受け入れることをお勧めします。
注: Google デバイスのファームウェア イメージは、 Google デベロッパー サイトで入手できます。
お知らせ
2018 年 7 月の Android セキュリティ情報に記載されているセキュリティ脆弱性に加えて、Pixel および Nexus デバイスには、以下に説明されているセキュリティ脆弱性に対するパッチも含まれています。パートナーはこれらの問題について少なくとも 1 か月前に通知されており、デバイスのアップデートの一部としてこれらの問題を組み込むことを選択する場合があります。
セキュリティパッチ
脆弱性は、影響を受けるコンポーネントの下にグループ化されます。問題の説明と、CVE、関連参照、脆弱性の種類、重大度、および更新された Android オープンソース プロジェクト (AOSP) バージョン (該当する場合) を含む表があります。利用可能な場合は、AOSP 変更リストなど、問題に対処した公開変更をバグ ID にリンクします。複数の変更が 1 つのバグに関連する場合、追加の参照はバグ ID に続く番号にリンクされます。
フレームワーク
| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2018-9426 | A-79148652 | ID | 適度 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2018-9376 | A-69981755 | EoP | 適度 | 6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2018-9434 | A-29833520 [ 2 ] | ID | 適度 | 6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
メディアフレームワーク
| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2018-9429 | A-73927042 | ID | 適度 | 8.1 |
| CVE-2018-9423 | A-77599438 | ID | 適度 | 7.0、7.1.1、7.1.2、8.0、8.1 |
システム
| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2018-9413 | A-73782082 | RCE | 適度 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2018-9418 | A-73824150 | RCE | 適度 | 7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2018-9430 | A-73963551 | RCE | 適度 | 6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2018-9414 | A-78787521 | EoP | 適度 | 6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1 |
| CVE-2018-9431 | A-77600924 | EoP | 適度 | 8.0、8.1 |
カーネルコンポーネント
| CVE | 参考文献 | タイプ | 重大度 | 成分 |
|---|---|---|---|---|
| CVE-2018-9416 | A-75300370 * | EoP | 適度 | SCSIドライバー |
| CVE-2018-9415 | A-69129004 上流カーネル | EoP | 適度 | AMBAドライバー |
| CVE-2018-7995 | A-77694092 上流カーネル | EoP | 適度 | チェック |
| CVE-2018-1065 | A-76206188 上流カーネル | EoP | 適度 | ネットフィルター |
| CVE-2017-1821 | A-76874268 上流カーネル | EoP | 適度 | イーサネット |
| CVE-2017-1000112 | A-68806309 上流カーネル | EoP | 適度 | Linuxカーネル |
クアルコムのコンポーネント
| CVE | 参考文献 | タイプ | 重大度 | 成分 |
|---|---|---|---|---|
| CVE-2018-5865 | A-77528512 QC-CR#2179937 | ID | 適度 | fwlog |
| CVE-2018-5864 | A-77528805 QC-CR#2170392 | ID | 適度 | WMA |
| CVE-2018-11304 | A-73242483 * QC-CR#2209291 | EoP | 適度 | サウンドドライバー |
| CVE-2018-5907 | A-72710411 * QC-CR#2209291 | EoP | 適度 | サウンドドライバー |
| CVE-2018-5862 | A-77528300 QC-CR#2153343 | EoP | 適度 | 無線LAN |
| CVE-2018-5859 | A-77527701 QC-CR#2146486 | EoP | 適度 | ビデオドライバー |
| CVE-2018-5858 | A-77528653 QC-CR#2174725 [ 2 ] | EoP | 適度 | オーディオ |
| CVE-2018-3570 | A-72956998 QC-CR#2149165 | EoP | 適度 | CPUアイドルドライバー |
| CVE-2017-15851 | A-38258851 * QC-CR#2078155 | EoP | 適度 | カメラv2 |
| CVE-2017-0606 | A-34088848 * QC-CR#2148210 QC-CR#2022490 | EoP | 適度 | /dev/voice_svc ドライバー |
機能パッチ
これらのアップデートは、Pixel デバイスのセキュリティに関係しない機能の問題に対処するために、影響を受ける Pixel デバイスに含まれています。この表には、関連する参考文献が含まれています。 Bluetooth やモバイル データなどの影響を受けるカテゴリ。改善。および影響を受けるデバイス。
| 参考文献 | カテゴリー | 改善点 | デバイス |
|---|---|---|---|
| A-73204553 | 接続性 | 特定のルーターとの Wi-Fi 接続の一貫性を向上させる | ピクセル 2、ピクセル 2 XL |
よくある質問と回答
このセクションでは、このセキュリティ情報を読んだ後に発生する可能性のある一般的な質問に答えます。
1. これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?
2018-07-05 以降のセキュリティ パッチ レベルは、2018-07-05 のセキュリティ パッチ レベルおよび以前のすべてのパッチ レベルに関連するすべての問題に対処します。デバイスのセキュリティ パッチ レベルを確認する方法については、 Pixel および Nexus の更新スケジュールに関する手順をお読みください。
2. [タイプ] 列のエントリは何を意味しますか?
脆弱性の詳細テーブルの「タイプ」列のエントリは、セキュリティ脆弱性の分類を参照します。
| 略語 | 意味 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 特権の昇格 |
| ID | 情報開示 |
| DoS | サービス拒否 |
| 該当なし | 分類は利用できません |
3. [参考文献] 列のエントリは何を意味しますか?
脆弱性の詳細表の「参照」列の下のエントリには、参照値が属する組織を識別するプレフィックスが含まれる場合があります。
| プレフィックス | 参照 |
|---|---|
| あ- | Android のバグ ID |
| 品質管理- | クアルコム参照番号 |
| M- | MediaTek 参照番号 |
| N- | NVIDIA 参照番号 |
| B- | Broadcom 参照番号 |
4. [参照]列の Android バグ ID の横にある * は何を意味しますか?
一般に公開されていない問題には、 [参考]列の Android バグ ID の横に * が付いています。この問題のアップデートは通常、 Google Developer サイトから入手できる Pixel/Nexus デバイス用の最新バイナリ ドライバに含まれています。
5. セキュリティの脆弱性がこの情報と Android セキュリティ情報に分かれているのはなぜですか?
Android デバイスで最新のセキュリティ パッチ レベルを宣言するには、Android セキュリティ情報に記載されているセキュリティの脆弱性が必要です。このセキュリティ情報に記載されているような追加のセキュリティ脆弱性は、セキュリティ パッチ レベルを宣言するために必要ありません。
バージョン
| バージョン | 日付 | ノート |
|---|---|---|
| 1.0 | 2018 年 7 月 2 日 | 会報を発行しました。 |
| 1.1 | 2018年7月3日 | AOSP リンクを含めるように速報が改訂されました。 |
| 1.2 | 2018年11月8日 | CVE-2017-1000112 を修正するために速報が改訂されました。 |