Google は、黒人コミュニティに対する人種平等の促進に取り組んでいます。取り組みを見る

Androidセキュリティ速報-2021年12月

2021年12月6日公開| 2021年12月8日更新

Android Security Bulletinには、Androidデバイスに影響を与えるセキュリティの脆弱性の詳細が含まれています。 2021-12-05以降のセキュリティパッチレベルは、これらすべての問題に対処します。デバイスのセキュリティパッチのレベルを確認する方法については、参照のチェックをして、あなたのAndroidのバージョンを更新

Androidパートナーには、公開の少なくとも1か月前にすべての問題が通知されます。 Androidパートナーには、公開の少なくとも1か月前にすべての問題が通知されます。これらの問題のソースコードパッチは、Android Open Source Project(AOSP)リポジトリにリリースされており、このセキュリティ情報からリンクされています。このセキュリティ情報には、AOSP以外のパッチへのリンクも含まれています

これらの問題の中で最も深刻なのは、Media Frameworkコンポーネントの重大なセキュリティの脆弱性であり、追加の実行権限を必要とせずにリモート情報の開示につながる可能性があります。重症度の評価は脆弱性を悪用する可能性のプラットフォームとサービス緩和策は、開発目的のためにオフになったり、正常にバイパス場合されていると仮定すると、影響を受けるデバイス上で持っているであろうと効果に基づいています。

参照してくださいAndroidとGoogleの保護緩和策の再生の詳細については、セクションをAndroidのセキュリティプラットフォームの保護とGoogleは保護再生、Androidプラットフォームのセキュリティを向上させています。

AndroidおよびGoogleサービスの緩和

これはにより提供される緩和策の概要であるAndroidのセキュリティ・プラットフォームなど、サービスの保護プロテクトGoogle Playで。これらの機能により、Androidでセキュリティの脆弱性が悪用される可能性が低くなります。

  • Androidプラットフォームの新しいバージョンでの機能強化により、Androidでの多くの問題の悪用がより困難になっています。可能な場合は、すべてのユーザーが最新バージョンのAndroidに更新することをお勧めします。
  • 虐待のためのAndroidのセキュリティチームが積極的にモニターGoogleが保護を再生し、約ユーザーが警告している潜在的に有害なアプリケーションを。 Googleが持つデバイス上でデフォルトで有効になってプロテクト再生Googleモバイルサービス、およびGoogle Playでの外部からのアプリをインストールし、ユーザーにとって特に重要です。

2021-12-01セキュリティパッチレベルの脆弱性の詳細

以下のセクションでは、2021-12-01パッチレベルに適用される各セキュリティの脆弱性について詳しく説明します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。問題は、以下の表に記載され、CVE ID、関連の文献、含まれる脆弱性のタイプ重症度、および更新AOSPバージョンを(該当する場合)。利用可能な場合は、問題に対処した公開変更をAOSP変更リストなどのバグIDにリンクします。複数の変更が単一のバグに関連している場合、追加の参照はバグIDに続く番号にリンクされます。後でアンドロイド10とを持つデバイスは、セキュリティ更新プログラムと同様に受け取ることができるGoogleのプレイシステムのアップデートを

フレームワーク

このセクションの最も深刻な脆弱性は、特権やユーザーの操作を必要とせずに、ローカルの攻撃者によるメモリの破損につながる可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2021-0955 A-192085766 EoP高い11
CVE-2021-0970 A-196970023 EoP高い9、10、11、12
CVE-2021-0704 A-179338675 ID高い9、10、11

メディアフレームワーク

このセクションの最も深刻な脆弱性は、追加の実行権限を必要とせずにリモート情報の開示につながる可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2021-0967 A-199065614 ID高い10、11、12
RCE致命的9
CVE-2021-0964 A-193363621 ID高い9、10、11、12

システム

このセクションの最も深刻な脆弱性により、リモートの攻撃者が特権プロセスのコンテキスト内で任意のコードを実行する可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2021-0968 A-197868577 RCE致命的9、10、11、12
CVE-2021-0956 A-189942532 EoP致命的11、12
CVE-2021-0953 A-184046278 EoP高い9、10、11、12
CVE-2021-0954 A-143559931 EoP高い10、11
CVE-2021-0963 A-199754277 [ 2 ] EoP高い9、10、11、12
CVE-2021-0965 A-194300867 EoP高い9、10、11、12
CVE-2021-0952 A-195748381 ID高い9、10、11、12
CVE-2021-0966 A-198346478 ID高い11、12
CVE-2021-0958 A-200041882 DoS適度11、12
CVE-2021-0969 A-199922685 DoS適度10、11

GooglePlayシステムの更新

次の問題は、プロジェクトメインラインコンポーネントに含まれています。

成分CVE
メディアコーデックCVE-2021-0964
メディアコーデック、メディアフレームワークコンポーネントCVE-2021-0967

2021-12-05セキュリティパッチレベルの脆弱性の詳細

以下のセクションでは、2021-12-05パッチレベルに適用される各セキュリティの脆弱性の詳細を示します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。問題は、以下の表に記載され、CVE ID、関連の文献、含まれる脆弱性のタイプ重症度、および更新AOSPバージョンを(該当する場合)。利用可能な場合は、問題に対処した公開変更をAOSP変更リストなどのバグIDにリンクします。複数の変更が単一のバグに関連している場合、追加の参照はバグIDに続く番号にリンクされます。

メディアフレームワーク

このセクションの脆弱性は、追加の実行権限を必要とせずにリモート情報の開示につながる可能性があります。
CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2021-0971 A-188893559 ID高い9、10、11、12

カーネルコンポーネント

このセクションの最も深刻な脆弱性は、整数のオーバーフロー、範囲外の書き込み、および特権のないユーザーによるルートへのエスカレーションにつながる可能性があります。
CVE参考文献タイプ重大度成分
CVE-2021-33909 A-195082750
アップストリームカーネル
EoP高いファイルシステム
CVE-2021-38204 A-196448784
アップストリームカーネル
EoP高いUSB
CVE-2021-0961 A-196046570
上流のカーネル[ 2 ] [ 3 ]
ID適度netfilter

MediaTekコンポーネント

これらの脆弱性はMediaTekコンポーネントに影響を及ぼし、詳細はMediaTekから直接入手できます。これらの問題の重大度評価は、MediaTekによって直接提供されます。

CVE参考文献重大度成分
CVE-2021-0675
A-201895896
M-ALPS06064258 *
高いalacデコーダー
CVE-2021-0904
A-201779035
M-ALPS06076938 *
高いSRAMROM

Qualcommコンポーネント

これらの脆弱性はQualcommコンポーネントに影響を及ぼし、適切なQualcommセキュリティ情報またはセキュリティアラートでさらに詳しく説明されています。これらの問題の重大度評価は、Qualcommによって直接提供されます。

CVE参考文献重大度成分
CVE-2021-30262
A-190402578
QC-CR#2774954
高いモデム
CVE-2021-30335
A-199191310
QC-CR#2964455
高いカーネル
CVE-2021-30337
A-199190644
QC-CR#2971293
高いカーネル

クアルコムのクローズドソースコンポーネント

これらの脆弱性はクアルコムのクローズドソースコンポーネントに影響を及ぼし、適切なクアルコムのセキュリティ情報またはセキュリティアラートでさらに詳しく説明されています。これらの問題の重大度評価は、Qualcommによって直接提供されます。

CVE参考文献重大度成分
CVE-2021-30275
A-190403081 *致命的クローズドソースコンポーネント
CVE-2021-30276
A-190404445 *致命的クローズドソースコンポーネント
CVE-2021-30351
A-201430561 *致命的クローズドソースコンポーネント
CVE-2020-11263
A-190404447 *高いクローズドソースコンポーネント
CVE-2021-1894
A-190404405 *高いクローズドソースコンポーネント
CVE-2021-1918
A-190403729 *高いクローズドソースコンポーネント
CVE-2021-30267
A-190403212 *高いクローズドソースコンポーネント
CVE-2021-30268
A-190404446 *高いクローズドソースコンポーネント
CVE-2021-30269
A-190403511 *高いクローズドソースコンポーネント
CVE-2021-30270
A-190402575 *高いクローズドソースコンポーネント
CVE-2021-30271
A-190404402 *高いクローズドソースコンポーネント
CVE-2021-30272
A-190404323 *高いクローズドソースコンポーネント
CVE-2021-30273
A-190404403 *高いクローズドソースコンポーネント
CVE-2021-30274
A-190403731 *高いクローズドソースコンポーネント
CVE-2021-30278
A-190403213 *高いクローズドソースコンポーネント
CVE-2021-30279
A-190402580 *高いクローズドソースコンポーネント
CVE-2021-30282
A-190404328 *高いクローズドソースコンポーネント
CVE-2021-30283
A-190403513 *高いクローズドソースコンポーネント
CVE-2021-30289
A-190404404 *高いクローズドソースコンポーネント
CVE-2021-30293
A-190404327 *高いクローズドソースコンポーネント
CVE-2021-30303
A-199192449 *高いクローズドソースコンポーネント
CVE-2021-30336
A-199191065 *高いクローズドソースコンポーネント

GooglePlayシステムの更新

次の問題は、プロジェクトメインラインコンポーネントに含まれています。

成分CVE
メディアフレームワークコンポーネントCVE-2021-0971

よくある質問と回答

このセクションでは、このセキュリティ情報を読んだ後に発生する可能性のある一般的な質問に回答します。

1.これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?

デバイスのセキュリティパッチのレベルを確認する方法については、参照のチェックをして、あなたのAndroidのバージョンを更新

  • 2021-12-01以降のセキュリティパッチレベルは、2021-12-01セキュリティパッチレベルに関連するすべての問題に対処します。
  • 2021-12-05以降のセキュリティパッチレベルは、2021-12-05セキュリティパッチレベルおよび以前のすべてのパッチレベルに関連するすべての問題に対処します。

これらのアップデートを含むデバイスメーカーは、パッチ文字列レベルを次のように設定する必要があります。

  • [ro.build.version.security_patch]:[2021-12-01]
  • [ro.build.version.security_patch]:[2021-12-05]

Android 10以降の一部のデバイスでは、GooglePlayシステムアップデートに2021-12-01セキュリティパッチレベルと一致する日付文字列が含まれます。見てくださいこの記事をセキュリティ更新プログラムをインストールする方法の詳細については。

2.このセキュリティ情報に2つのセキュリティパッチレベルがあるのはなぜですか?

このセキュリティ情報には2つのセキュリティパッチレベルがあるため、Androidパートナーは、すべてのAndroidデバイスで類似している脆弱性のサブセットをより迅速に修正できます。 Androidパートナーは、このセキュリティ情報のすべての問題を修正し、最新のセキュリティパッチレベルを使用することをお勧めします。

  • 2021-12-01セキュリティパッチレベルを使用するデバイスには、そのセキュリティパッチレベルに関連するすべての問題と、以前のセキュリティ情報で報告されたすべての問題の修正が含まれている必要があります。
  • 2021-12-05以降のセキュリティパッチレベルを使用するデバイスは、この(および以前の)セキュリティ情報に該当するすべてのパッチを含める必要があります。

パートナーは、対処しているすべての問題の修正を1回の更新にバンドルすることをお勧めします。

3. Type列の平均値のエントリを何をしますか?

脆弱性の詳細テーブル参照の種類]列のエントリセキュリティ脆弱性の分類。

略語意味
RCEリモートコード実行
EoP特権の昇格
ID情報開示
DoSサービス拒否
該当なし分類できません

4.参考文献欄平均のエントリを何をしますか?

脆弱性の詳細テーブルの参照列の下のエントリは、基準値が属する組織を識別する接頭辞が含まれていてもよいです。

プレフィックスリファレンス
NS- AndroidのバグID
QC-クアルコムの参照番号
NS- MediaTek参照番号
NS- NVIDIA参照番号
NS- Broadcom参照番号
U- UNISOC参照番号

5.参考文献欄平均でAndroidのバグIDへ*次は何?

公開されていない問題には、対応する参照IDの横に*が付いています。その問題に対する更新プログラムは、一般に利用可能なピクセルのデバイス用の最新ドライバのバイナリに含まれている、Googleの開発者向けサイト

6.セキュリティの脆弱性が、このセキュリティ情報と、Pixelセキュリティ情報などのデバイス/パートナーのセキュリティ情報との間で分割されるのはなぜですか?

このセキュリティ情報に記載されているセキュリティの脆弱性は、Androidデバイスで最新のセキュリティパッチレベルを宣言するために必要です。デバイス/パートナーのセキュリティ情報に記載されている追加のセキュリティの脆弱性は、セキュリティパッチレベルの宣言には必要ありません。 Androidデバイスとチップセットメーカーものような彼らの製品にセキュリティ上の脆弱性の詳細の特定を公開することがグーグルHuawei社LGEモトローラノキア、またはサムスン

バージョン

バージョン日にちノート
1.0 2021年12月6日Bulletinがリリースされました
1.1 2021年12月8日Bulletinが改訂され、AOSPリンクが含まれるようになりました