Android のセキュリティに関する公開情報 - 2017 年 5 月

2017 年 5 月 1 日公開 | 2017 年 10 月 3 日更新

Android のセキュリティに関する公開情報には、Android デバイスに影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus デバイスに対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 製デバイスのファームウェア イメージも Google デベロッパー サイトでリリースしています。2017 年 5 月 5 日以降のセキュリティ パッチレベルでは、下記のすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Pixel と Nexus のアップデート スケジュールをご覧ください。

パートナーには、この公開情報に記載の問題について 2017 年 4 月 3 日までに通知済みです。Android オープンソース プロジェクト(AOSP)のリポジトリに、以下の問題に対するソースコードのパッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。

以下の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象のデバイスでメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合の影響に基づきます。プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。

この新たに報告された問題によって実際のユーザー デバイスが不正使用された報告はありません。Android セキュリティ プラットフォームの保護SafetyNet のようなサービスの保護について詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。

ご利用のデバイスにこのアップデートを適用することをすべてのユーザーにおすすめします。

お知らせ

  • この公開情報では、2 つのセキュリティ パッチレベル文字列を定義しています。これは、すべての Android デバイスで同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、一般的な質問と回答をご覧ください。
    • 2017-05-01: 部分的に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-05-01(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。
    • 2017-05-05: 完全に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-05-01 と 2017-05-05(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。
  • サポート対象の Google 製デバイスには、2017 年 5 月 5 日のセキュリティ パッチレベルのアップデート 1 件が OTA で配信されます。

Android と Google サービスでのリスク軽減策

ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

  • Android プラットフォームの最新版での機能強化により、Android 上の多くの問題について悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
  • Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しており、有害なおそれのあるアプリについてユーザーに警告しています。「アプリの確認」は、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。デバイスの root 権限を取得するツールは Google Play では禁止されていますが、「アプリの確認」では、アプリの入手元に関係なく、検出された root 権限取得アプリをインストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。
  • Google ハングアウトやメッセンジャーなどのアプリでは状況を適宜判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。

謝辞

調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。

  • ADlab of Venustech: CVE-2017-0630
  • Tencent KeenLab(@keen_lab)の Di Shen(@returnsme): CVE-2016-10287
  • Trend Micro の Ecular Xu(徐健): CVE-2017-0599、CVE-2017-0635
  • MS509Team の En He(@heeeeen4x)、Bo Liu: CVE-2017-0601
  • Team Win Recovery Project の Ethan Yonker: CVE-2017-0493
  • Qihoo 360 Technology Co. Ltd. IceSword Lab の Gengjia Chen(@chengjia4574)、pjf: CVE-2016-10285、CVE-2016-10288、CVE-2016-10290、CVE-2017-0624、CVE-2017-0616、CVE-2017-0617、CVE-2016-10294、CVE-2016-10295、CVE-2016-10296
  • Tencent PC Manager の godzheng(郑文选 @VirtualSeekers): CVE-2017-0602
  • イリノイ大学アーバナ シャンペーン校Güliz Seray Tuncay: CVE-2017-0593
  • Qihoo 360 Technology Co. Ltd. Alpha Team の Hao Chen、Guang Gong: CVE-2016-10283
  • Xiaomi Inc. の Juhu Nie、Yang Cheng、Nan Li、Qiwu Huang: CVE-2016-10276
  • Michał Bednarski: CVE-2017-0598
  • Tesla、Product Security Team の Nathan Crandall(@natecray): CVE-2017-0331、CVE-2017-0606
  • Niky1235@jiych_guru): CVE-2017-0603
  • Alibaba Mobile Security Group の Peng Xiao、Chengming Yang、Ning You、Chao Yang、Yang Song: CVE-2016-10281、CVE-2016-10280
  • Aleph Research の Roee Hay(@roeehay): CVE-2016-10277
  • Scott Bauer@ScottyBauer1): CVE-2016-10274
  • C0RE TeamTong LinYuan-Tsung Lo、Xuxian Jiang: CVE-2016-10291
  • Vasily Vasiliev: CVE-2017-0589
  • Trend Micro Mobile Threat Response Team の V.E.O(@VYSEa): CVE-2017-0590、CVE-2017-0587、CVE-2017-0600
  • Tencent Security Platform Department の Xiling Gong: CVE-2017-0597
  • 360 Marvel Team の Xingyuan Lin: CVE-2017-0627
  • Alibaba Inc. の Yong Wang(王勇)(@ThomasKing2014): CVE-2017-0588
  • Qihoo 360 Technology Co. Ltd. IceSword Lab の Yonggang Guo(@guoygang): CVE-2016-10289、CVE-2017-0465
  • Qihoo 360 Technology Co. Ltd. Vulpecker Team の Yu Pan: CVE-2016-10282、CVE-2017-0615
  • Qihoo 360 Technology Co. Ltd. Vulpecker Team の Yu Pan、Peide Zhang: CVE-2017-0618、CVE-2017-0625

セキュリティ パッチレベル 2017-05-01 の脆弱性の詳細

パッチレベル 2017-05-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。

メディアサーバーでのリモートコード実行の脆弱性

メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0587 A-35219737 重大 すべて 6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 4 日
CVE-2017-0588 A-34618607 重大 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 21 日
CVE-2017-0589 A-34897036 重大 すべて 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 2 月 1 日
CVE-2017-0590 A-35039946 重大 すべて 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 2 月 6 日
CVE-2017-0591 A-34097672 重大 すべて 6.0、6.0.1、7.0、7.1.1、7.1.2 Google 社内
CVE-2017-0592 A-34970788 重大 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 Google 社内

フレームワーク API での権限昇格の脆弱性

フレームワーク API における権限昇格の脆弱性により、悪意のあるローカルアプリがカスタム権限にアクセスできるおそれがあります。アプリデータを別のアプリから分離するオペレーティング システムの保護を回避する一般的な方法となるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0593 A-34114230 すべて 6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 5 日

メディアサーバーでの権限昇格の脆弱性

メディアサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0594 A-34617444 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 22 日
CVE-2017-0595 A-34705519 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2017 年 1 月 24 日
CVE-2017-0596 A-34749392 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1 2017 年 1 月 24 日

オーディオサーバーでの権限昇格の脆弱性

オーディオサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0597 A-34749571 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 25 日

フレームワーク API での情報開示の脆弱性

フレームワーク API に情報開示の脆弱性があるため、悪意のあるローカルアプリが、アプリデータを他のアプリから分離するオペレーティング システムの保護を回避するおそれがあります。アプリがアクセス権限のないデータにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0598 A-34128677 [2] すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 6 日

メディアサーバーでのサービス拒否の脆弱性

メディアサーバーにリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否の可能性があるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0599 A-34672748 すべて 6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 1 月 23 日
CVE-2017-0600 A-35269635 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 2 月 10 日

Bluetooth での権限昇格の脆弱性

Bluetooth に権限昇格の脆弱性があるため、悪意のあるローカルアプリが Bluetooth を経由してユーザーの許可なしに有害なファイルを受け取るおそれがあります。ユーザー操作の要件がローカルで回避されるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0601 A-35258579 すべて 7.0、7.1.1、7.1.2 2017 年 2 月 9 日

ファイルベースの暗号化での情報開示の脆弱性

ファイルベースの暗号化に情報開示の脆弱性があるため、悪意のあるローカルの攻撃者が、ロック画面のオペレーティング システムの保護を回避するおそれがあります。ロック画面が回避されるおそれがあるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0493 A-32793550 [2] [3] すべて 7.0、7.1.1 2016 年 11 月 9 日

Bluetooth での情報開示の脆弱性

Bluetooth に情報開示の脆弱性があるため、悪意のあるローカルアプリが、アプリデータを他のアプリから分離するオペレーティング システムの保護を回避するおそれがあります。この脆弱性に固有の詳細情報から、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0602 A-34946955 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2016 年 12 月 5 日

OpenSSL と BoringSSL での情報開示の脆弱性

OpenSSL と BoringSSL に情報開示の脆弱性があるため、リモートの攻撃者が機密情報にアクセスできるおそれがあります。この脆弱性に固有の詳細情報から、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-7056 A-33752052 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2016 年 12 月 19 日

メディアサーバーでのサービス拒否の脆弱性

メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。一般的でない端末設定が必要なため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0603 A-35763994 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2017 年 2 月 23 日

メディアサーバーでのサービス拒否の脆弱性

メディアサーバーにリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。この脆弱性に固有の詳細情報から、この問題の重大度は「低」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2017-0635 A-35467107 すべて 7.0、7.1.1、7.1.2 2017 年 2 月 16 日

セキュリティ パッチレベル 2017-05-05 の脆弱性の詳細

パッチレベル 2017-05-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。

GIFLIB でのリモートコード実行の脆弱性

GIFLIB にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2015-7555 A-34697653 重大 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2 2016 年 4 月 13 日

MediaTek タッチスクリーン ドライバでの権限昇格の脆弱性

MediaTek タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10274 A-30202412*
M-ALPS02897901
重大 なし** 2016 年 7 月 16 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Qualcomm ブートローダーでの権限昇格の脆弱性

Qualcomm ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10275 A-34514954
QC-CR#1009111
重大 Nexus 5X、Nexus 6、Pixel、Pixel XL、Android One 2016 年 9 月 13 日
CVE-2016-10276 A-32952839
QC-CR#1094105
重大 Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 11 月 16 日

カーネル サウンド サブシステムでの権限昇格の脆弱性

カーネル サウンド サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-9794 A-34068036
アップストリーム カーネル
重大 Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player 2016 年 12 月 3 日

Motorola ブートローダーでの権限昇格の脆弱性

Motorola ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってブートローダー内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10277 A-33840490*
重大 Nexus 6 2016 年 12 月 21 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

NVIDIA ビデオドライバでの権限昇格の脆弱性

NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0331 A-34113000*
N-CVE-2017-0331
重大 Nexus 9 2017 年 1 月 4 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

Qualcomm 電源ドライバでの権限昇格の脆弱性

カーネルの Qualcomm 電源ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0604 A-35392981
QC-CR#826589
重大 なし* 2017 年 2 月 15 日

* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Qualcomm コンポーネントでの脆弱性

Qualcomm コンポーネントに影響する脆弱性は次のとおりです。詳細については、Qualcomm AMSS の 2016 年 8 月、9 月、10 月、12 月のセキュリティに関する公開情報をご覧ください。

CVE 参照 重大度* 更新対象の Google 製デバイス 報告日
CVE-2016-10240 A-32578446**
QC-CR#955710
重大 Nexus 6P Qualcomm 社内
CVE-2016-10241 A-35436149**
QC-CR#1068577
重大 Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL Qualcomm 社内
CVE-2016-10278 A-31624008**
QC-CR#1043004
Pixel、Pixel XL Qualcomm 社内
CVE-2016-10279 A-31624421**
QC-CR#1031821
Pixel、Pixel XL Qualcomm 社内

* この一連の脆弱性の重大度はベンダーが決定したものです。

** この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

libxml2 でのリモートコード実行の脆弱性

libxml2 にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、非特権プロセス内で任意のコードを実行するおそれがあります。このライブラリを使用するアプリでリモートコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-5131 A-32956747* なし** 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 7 月 23 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

MediaTek サーマル ドライバでの権限昇格の脆弱性

MediaTek サーマル ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10280 A-28175767*
M-ALPS02696445
なし** 2016 年 4 月 11 日
CVE-2016-10281 A-28175647*
M-ALPS02696475
なし** 2016 年 4 月 11 日
CVE-2016-10282 A-33939045*
M-ALPS03149189
なし** 2016 年 12 月 27 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性

Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリにより、カーネル内で任意のコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10283 A-32094986
QC-CR#2002052
Nexus 5X、Pixel、Pixel XL、Android One 2016 年 10 月 11 日

Qualcomm ビデオドライバでの権限昇格の脆弱性

Qualcomm ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10284 A-32402303*
QC-CR#2000664
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2016 年 10 月 24 日
CVE-2016-10285 A-33752702
QC-CR#1104899
Pixel、Pixel XL 2016 年 12 月 19 日
CVE-2016-10286 A-35400904
QC-CR#1090237
Pixel、Pixel XL 2017 年 2 月 15 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

カーネル パフォーマンス サブシステムでの権限昇格の脆弱性

カーネル パフォーマンス サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2015-9004 A-34515362
アップストリーム カーネル
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player 2016 年 11 月 23 日

Qualcomm サウンド ドライバでの権限昇格の脆弱性

Qualcomm サウンド ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10287 A-33784446
QC-CR#1112751
Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2016 年 12 月 20 日
CVE-2017-0606 A-34088848
QC-CR#1116015
Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 1 月 3 日
CVE-2016-5860 A-34623424
QC-CR#1100682
Pixel、Pixel XL 2017 年 1 月 22 日
CVE-2016-5867 A-35400602
QC-CR#1095947
なし* 2017 年 2 月 15 日
CVE-2017-0607 A-35400551
QC-CR#1085928
Pixel、Pixel XL 2017 年 2 月 15 日
CVE-2017-0608 A-35400458
QC-CR#1098363
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2017-0609 A-35399801
QC-CR#1090482
Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2016-5859 A-35399758
QC-CR#1096672
なし* 2017 年 2 月 15 日
CVE-2017-0610 A-35399404
QC-CR#1094852
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2017-0611 A-35393841
QC-CR#1084210
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2016-5853 A-35392629
QC-CR#1102987
なし* 2017 年 2 月 15 日

* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Qualcomm LED ドライバでの権限昇格の脆弱性

Qualcomm LED ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10288 A-33863909
QC-CR#1109763
Pixel、Pixel XL 2016 年 12 月 23 日

Qualcomm crypto ドライバでの権限昇格の脆弱性

Qualcomm crypto ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10289 A-33899710
QC-CR#1116295
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2016 年 12 月 24 日

Qualcomm 共有メモリドライバでの権限昇格の脆弱性

Qualcomm 共有メモリドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10290 A-33898330
QC-CR#1109782
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 12 月 24 日

Qualcomm Slimbus ドライバでの権限昇格の脆弱性

Qualcomm Slimbus ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10291 A-34030871
QC-CR#986837
Nexus 5X、Nexus 6、Nexus 6P、Android One 2016 年 12 月 31 日

Qualcomm ADSPRPC ドライバでの権限昇格の脆弱性

Qualcomm ADSPRPC ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0465 A-34112914
QC-CR#1110747
Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 1 月 5 日

Qualcomm Secure Execution Environment Communicator ドライバでの権限昇格の脆弱性

Qualcomm Secure Execution Environment Communicator ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0612 A-34389303
QC-CR#1061845
Pixel、Pixel XL 2017 年 1 月 10 日
CVE-2017-0613 A-35400457
QC-CR#1086140
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日
CVE-2017-0614 A-35399405
QC-CR#1080290
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

MediaTek 電源ドライバでの権限昇格の脆弱性

MediaTek 電源ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0615 A-34259126*
M-ALPS03150278
なし** 2017 年 1 月 12 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

MediaTek システム管理割り込みドライバでの権限昇格の脆弱性

MediaTek システム管理割り込みドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0616 A-34470286*
M-ALPS03149160
なし** 2017 年 1 月 19 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

MediaTek ビデオドライバでの権限昇格の脆弱性

MediaTek ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0617 A-34471002*
M-ALPS03149173
なし** 2017 年 1 月 19 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

MediaTek コマンドキュー ドライバでの権限昇格の脆弱性

MediaTek コマンドキュー ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0618 A-35100728*
M-ALPS03161536
なし** 2017 年 2 月 7 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Qualcomm ピン コントローラ ドライバでの権限昇格の脆弱性

Qualcomm ピン コントローラ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0619 A-35401152
QC-CR#826566
Nexus 6、Android One 2017 年 2 月 15 日

Qualcomm Secure Channel Manager ドライバでの権限昇格の脆弱性

Qualcomm Secure Channel Manager ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0620 A-35401052
QC-CR#1081711
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

Qualcomm サウンド コーデック ドライバでの権限昇格の脆弱性

Qualcomm サウンド コーデック ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-5862 A-35399803
QC-CR#1099607
Pixel、Pixel XL 2017 年 2 月 15 日

カーネルの電圧レギュレータ ドライバでの権限昇格の脆弱性

カーネルの電圧レギュレータ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2014-9940 A-35399757
アップストリーム カーネル
Nexus 6、Nexus 9、Pixel C、Android One、Nexus Player 2017 年 2 月 15 日

Qualcomm カメラドライバでの権限昇格の脆弱性

Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0621 A-35399703
QC-CR#831322
Android One 2017 年 2 月 15 日

Qualcomm ネットワーク ドライバでの権限昇格の脆弱性

Qualcomm ネットワーク ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-5868 A-35392791
QC-CR#1104431
Nexus 5X、Pixel、Pixel XL 2017 年 2 月 15 日

カーネル ネットワーク サブシステムでの権限昇格の脆弱性

カーネル ネットワーク サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-7184 A-36565222
アップストリーム カーネル [2]
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Android One 2017 年 5 月 23 日

Goodix タッチスクリーン ドライバでの権限昇格の脆弱性

Goodix タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0622 A-32749036
QC-CR#1098602
Android One Google 社内

HTC ブートローダーでの権限昇格の脆弱性

HTC ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってブートローダー内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0623 A-32512358*
Pixel、Pixel XL Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

Qualcomm Wi-Fi ドライバでの情報開示の脆弱性

Qualcomm Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用される可能性があるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0624 A-34327795*
QC-CR#2005832
Nexus 5X、Pixel、Pixel XL 2017 年 1 月 16 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

MediaTek コマンドキュー ドライバでの情報開示の脆弱性

MediaTek コマンドキュー ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用される可能性があるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0625 A-35142799*
M-ALPS03161531
なし** 2017 年 2 月 8 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Qualcomm crypto エンジン ドライバでの情報開示の脆弱性

Qualcomm crypto エンジン ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用される可能性があるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0626 A-35393124
QC-CR#1088050
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

Qualcomm Wi-Fi ドライバでのサービス拒否の脆弱性

Qualcomm Wi-Fi ドライバにサービス拒否の脆弱性があるため、近くにいる攻撃者が Wi-Fi サブシステムでサービス拒否を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10292 A-34514463*
QC-CR#1065466
Nexus 5X、Pixel、Pixel XL 2016 年 12 月 16 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

カーネル UVC ドライバでの情報開示の脆弱性

カーネル UVC ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0627 A-33300353*
Nexus 5X、Nexus 6P、Nexus 9、Pixel C、Nexus Player 2016 年 12 月 2 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

Qualcomm ビデオドライバでの情報開示の脆弱性

Qualcomm ビデオドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10293 A-33352393
QC-CR#1101943
Nexus 5X、Nexus 6P、Android One 2016 年 12 月 4 日

Qualcomm 電源ドライバでの情報開示の脆弱性(端末固有)

Qualcomm 電源ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10294 A-33621829
QC-CR#1105481
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 12 月 14 日

Qualcomm LED ドライバでの情報開示の脆弱性

Qualcomm LED ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10295 A-33781694
QC-CR#1109326
Pixel、Pixel XL 2016 年 12 月 20 日

Qualcomm 共有メモリドライバでの情報開示の脆弱性

Qualcomm 共有メモリドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-10296 A-33845464
QC-CR#1109782
Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2016 年 12 月 22 日

Qualcomm カメラドライバでの情報開示の脆弱性

Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0628 A-34230377
QC-CR#1086833
Nexus 5X、Nexus 6、Pixel、Pixel XL 2017 年 1 月 10 日
CVE-2017-0629 A-35214296
QC-CR#1086833
Nexus 5X、Nexus 6、Pixel、Pixel XL 2017 年 2 月 8 日

カーネル トレース サブシステムでの情報開示の脆弱性

カーネル トレース サブシステムに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0630 A-34277115*
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player 2017 年 1 月 11 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

Qualcomm サウンド コーデック ドライバでの情報開示の脆弱性

Qualcomm サウンド コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-5858 A-35400153
QC-CR#1096799 [2]
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

Qualcomm カメラドライバでの情報開示の脆弱性

Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0631 A-35399756
QC-CR#1093232
Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

Qualcomm サウンド ドライバでの情報開示の脆弱性

Qualcomm サウンド ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-5347 A-35394329
QC-CR#1100878
Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One 2017 年 2 月 15 日

Qualcomm SPCom ドライバでの情報開示の脆弱性

Qualcomm SPCom ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-5854 A-35392792
QC-CR#1092683
なし* 2017 年 2 月 15 日
CVE-2016-5855 A-35393081
QC-CR#1094143
なし* 2017 年 2 月 15 日

* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Qualcomm サウンド コーデック ドライバでの情報開示の脆弱性

Qualcomm サウンド コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0632 A-35392586
QC-CR#832915
Android One 2017 年 2 月 15 日

Broadcom Wi-Fi ドライバでの情報開示の脆弱性

Broadcom Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカル コンポーネントが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0633 A-36000515*
B-RB#117131
Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player 2017 年 2 月 23 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

Synaptics タッチスクリーン ドライバでの情報開示の脆弱性

Synaptics タッチスクリーン ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2017-0634 A-32511682*
Pixel、Pixel XL Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

Qualcomm コンポーネントでの脆弱性

Qualcomm コンポーネントに影響する次の脆弱性は、2014~2016 年に Qualcomm AMSS のセキュリティに関する公開情報としてリリースされたものです。これらは Android のセキュリティ パッチレベルとの関連付けのため、今回の「Android のセキュリティに関する公開情報」に追記されています。

CVE 参照 重大度* 更新対象の Google 製デバイス 報告日
CVE-2014-9923 A-35434045** 重大 なし*** Qualcomm 社内
CVE-2014-9924 A-35434631** 重大 なし*** Qualcomm 社内
CVE-2014-9925 A-35444657** 重大 なし*** Qualcomm 社内
CVE-2014-9926 A-35433784** 重大 なし*** Qualcomm 社内
CVE-2014-9927 A-35433785** 重大 なし*** Qualcomm 社内
CVE-2014-9928 A-35438623** 重大 なし*** Qualcomm 社内
CVE-2014-9929 A-35443954**
QC-CR#644783
重大 なし*** Qualcomm 社内
CVE-2014-9930 A-35432946** 重大 なし*** Qualcomm 社内
CVE-2015-9005 A-36393500** 重大 なし*** Qualcomm 社内
CVE-2015-9006 A-36393450** 重大 なし*** Qualcomm 社内
CVE-2015-9007 A-36393700** 重大 なし*** Qualcomm 社内
CVE-2016-10297 A-36393451** 重大 なし*** Qualcomm 社内
CVE-2014-9941 A-36385125** なし*** Qualcomm 社内
CVE-2014-9942 A-36385319** なし*** Qualcomm 社内
CVE-2014-9943 A-36385219** なし*** Qualcomm 社内
CVE-2014-9944 A-36384534** なし*** Qualcomm 社内
CVE-2014-9945 A-36386912** なし*** Qualcomm 社内
CVE-2014-9946 A-36385281** なし*** Qualcomm 社内
CVE-2014-9947 A-36392400** なし*** Qualcomm 社内
CVE-2014-9948 A-36385126** なし*** Qualcomm 社内
CVE-2014-9949 A-36390608** なし*** Qualcomm 社内
CVE-2014-9950 A-36385321** なし*** Qualcomm 社内
CVE-2014-9951 A-36389161** なし*** Qualcomm 社内
CVE-2014-9952 A-36387019** なし*** Qualcomm 社内

* この一連の問題の重大度はベンダーが決定したものです。

** この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

*** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

一般的な質問と回答

上記の公開情報に対する一般的な質問についての回答は以下のとおりです。

1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?

デバイスのセキュリティ パッチレベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。

  • セキュリティ パッチレベル 2017-05-01 以降では、セキュリティ パッチレベル 2017-05-01 に関連するすべての問題に対処しています。
  • セキュリティ パッチレベル 2017-05-05 以降では、セキュリティ パッチレベル 2017-05-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。

デバイス メーカーは、こうしたアップデートを組み込む場合、パッチレベル文字列を以下のとおり設定する必要があります。

  • [ro.build.version.security_patch]:[2017-05-01]
  • [ro.build.version.security_patch]:[2017-05-05]

2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?

この公開情報では、2 つのセキュリティ パッチレベルを掲載しています。これは、すべての Android デバイスにまたがる同様の脆弱性をひとまとめにして、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。

  • 2017 年 5 月 1 日のセキュリティ パッチレベルを使用する端末には、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。
  • 2017 年 5 月 5 日以降のセキュリティ パッチレベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。

パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。

3. 各問題の影響を受ける Google デバイスを判断するにはどうすればよいですか?

2017-05-012017-05-05 のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google デバイス」列に、その問題の影響を受ける、更新対象の Google デバイスの種類を記載しています。この列には次のいずれかが表示されています。

  • すべての Google デバイス: 問題がすべてのデバイスと Pixel デバイスに影響を与える場合、表の「更新対象の Google デバイス」列には「すべて」と記載されています。「すべて」にはサポート対象のデバイス(Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。
  • 一部の Google デバイス: 問題が一部の Google デバイスのみに影響する場合、「更新対象の Google デバイス」列には影響を受ける Google デバイスが記載されています。
  • 影響を受ける Google デバイスがない: Android 7.0 を搭載した Google デバイスが問題の影響を受けない場合、表の「更新対象の Google デバイス」列には「なし」と記載されています。

4. 「参照」列の項目はどのような情報に関連付けられていますか?

脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属す組織を示す接頭辞を含めている場合があります。各接頭辞の意味は以下のとおりです。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号

改訂

  • 2017 年 5 月 1 日: 情報公開
  • 2017 年 5 月 2 日: 公開情報を改訂し AOSP リンクを追加
  • 2017 年 8 月 10 日: 公開情報を改訂し CVE-2017-0493 向け AOSP リンクを追加
  • 2017 年 8 月 17 日: 公開情報を改訂し参照番号を更新
  • 2017 年 10 月 3 日: 公開情報を改訂し CVE-2017-0605 を削除