Wear OS セキュリティ情報には、Wear OS プラットフォームに影響を与えるセキュリティ脆弱性の詳細が含まれています。 Wear OS の完全なアップデートには、このセキュリティ情報のすべての問題に加えて、 2024 年 5 月の Android セキュリティ情報のセキュリティ パッチ レベル 2024-05-05 以降が含まれています。
すべてのお客様に、デバイスに対するこれらのアップデートを受け入れることをお勧めします。
これらの問題の中で最も深刻なのは、フレームワーク コンポーネントの重大なセキュリティ脆弱性であり、追加の実行権限を必要としない悪意のあるアプリによるローカルでの権限昇格につながる可能性があります。重大度の評価は、プラットフォームとサービスの緩和策が開発目的で無効になっている場合、または回避に成功した場合を想定して、脆弱性の悪用が影響を受けるデバイスに与える可能性のある影響に基づいています。
お知らせ
- 2024 年 5 月の Android セキュリティ情報に記載されているセキュリティの脆弱性に加えて、2024 年 5 月の Wear OS セキュリティ情報には、以下で説明する Wear OS の脆弱性専用のパッチも含まれています。
2024-05-01 セキュリティ パッチ レベルの脆弱性の詳細
以下のセクションでは、パッチ レベル 2024-05-01 に適用される各セキュリティ脆弱性の詳細を説明します。脆弱性は、影響を受けるコンポーネントの下にグループ化されます。問題は以下の表で説明されており、CVE ID、関連参照、脆弱性の種類、重大度、更新された AOSP バージョン (該当する場合) が含まれています。利用可能な場合は、AOSP 変更リストなど、問題に対処した公開変更をバグ ID にリンクします。複数の変更が 1 つのバグに関連する場合、追加の参照はバグ ID に続く番号にリンクされます。 Android 10 以降を搭載したデバイスは、Google Play システム アップデートだけでなくセキュリティ アップデートも受信する場合があります。
フレームワーク
このセクションの最も深刻な脆弱性は、追加の実行権限を必要としない悪意のあるアプリによるローカルでの権限昇格につながる可能性があります。
| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2024-23700 | A-310634539 | ID | 致命的 | 13 |
| CVE-2024-23703 | A-268737818 | EoP | 高い | 13 |
システム
このセクションの最も深刻な脆弱性により、追加の実行権限が必要なく、ローカルで権限が昇格される可能性があります。
| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2024-23701 | A-300267802 | EoP | 高い | 13 |
| CVE-2024-23702 | A-290819041 | EoP | 高い | 13 |
よくある質問と回答
このセクションでは、このセキュリティ情報を読んだ後に発生する可能性のある一般的な質問に答えます。
1. これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?
デバイスのセキュリティ パッチ レベルを確認する方法については、 Google デバイスの更新スケジュールに関する手順をお読みください。
- セキュリティ パッチ レベル 2024-05-01 以降では、セキュリティ パッチ レベル 2024-05-01 に関連するすべての問題に対処します。
これらのアップデートを組み込むデバイス メーカーは、パッチ文字列レベルを次のように設定する必要があります。
- [ro.build.version.security_patch]:[2024-05-01]
Android 10 以降の一部のデバイスでは、Google Play システム アップデートには 2024-05-01 のセキュリティ パッチ レベルに一致する日付文字列が含まれます。セキュリティ更新プログラムのインストール方法の詳細については、この記事を参照してください。
2. [タイプ]列のエントリは何を意味しますか?
脆弱性の詳細テーブルの「タイプ」列のエントリは、セキュリティ脆弱性の分類を参照します。
| 略語 | 意味 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 特権の昇格 |
| ID | 情報開示 |
| DoS | サービス拒否 |
| 該当なし | 分類は利用できません |
3. [参考文献] 列のエントリは何を意味しますか?
脆弱性の詳細表の「参照」列の下のエントリには、参照値が属する組織を識別するプレフィックスが含まれる場合があります。
| プレフィックス | 参照 |
|---|---|
| あ- | Android のバグ ID |
| 品質管理- | クアルコム参照番号 |
| M- | MediaTek 参照番号 |
| N- | NVIDIA 参照番号 |
| B- | Broadcom 参照番号 |
| う- | UNISOC 参照番号 |
4. [参照]列の Android バグ ID の横にある * は何を意味しますか?
一般に公開されていない問題には、対応する参照 ID の横に * が付いています。この問題のアップデートは通常、 Google デベロッパー サイトから入手できる Pixel デバイス用の最新バイナリ ドライバーに含まれています。
5. セキュリティの脆弱性がこの情報とデバイス/パートナーのセキュリティ情報 (Pixel 情報など) に分かれているのはなぜですか?
このセキュリティ情報に記載されているセキュリティの脆弱性は、Android デバイスで最新のセキュリティ パッチ レベルを宣言する必要があります。デバイス/パートナーのセキュリティ情報に文書化されている追加のセキュリティ脆弱性は、セキュリティ パッチ レベルを宣言するために必要ありません。 Android デバイスおよびチップセットのメーカーは、 Google 、 Huawei 、 LGE 、 Motorola 、 Nokia 、またはSamsungなどの自社製品に固有のセキュリティ脆弱性の詳細を公開する場合もあります。
バージョン
| バージョン | 日付 | ノート |
|---|---|---|
| 1.0 | 2024 年 5 月 6 日 | 会報を発行しました。 |