Android Security Bulletinには、Androidデバイスに影響を与えるセキュリティの脆弱性の詳細が含まれています。 2022-05-05以降のセキュリティパッチレベルは、これらすべての問題に対処します。デバイスのセキュリティパッチレベルを確認する方法については、Androidのバージョンを確認して更新するをご覧ください。
Androidパートナーには、公開の少なくとも1か月前にすべての問題が通知されます。これらの問題のソースコードパッチは、Android Open Source Project(AOSP)リポジトリにリリースされており、このセキュリティ情報からリンクされています。このセキュリティ情報には、AOSP以外のパッチへのリンクも含まれています。
これらの問題の中で最も深刻なのは、フレームワークコンポーネントのセキュリティが高い脆弱性であり、ユーザー実行特権が必要な場合に特権がローカルに昇格する可能性があります。重大度の評価は、プラットフォームとサービスの緩和策が開発目的でオフになっている、または正常にバイパスされた場合に、脆弱性の悪用が影響を受けるデバイスに与える可能性のある影響に基づいています。
Androidプラットフォームのセキュリティを向上させるAndroidセキュリティプラットフォーム保護とGooglePlayプロテクトの詳細については、 AndroidとGooglePlayプロテクトの緩和策のセクションを参照してください。
AndroidおよびGoogleサービスの緩和
これは、 AndroidセキュリティプラットフォームとGooglePlayプロテクトなどのサービス保護によって提供される緩和策の概要です。これらの機能により、Androidでセキュリティの脆弱性が悪用される可能性が低くなります。
- Androidプラットフォームの新しいバージョンでの機能強化により、Androidでの多くの問題の悪用がより困難になっています。可能な場合は、すべてのユーザーが最新バージョンのAndroidに更新することをお勧めします。
- Androidセキュリティチームは、 Google Playプロテクトを通じて不正使用を積極的に監視し、有害な可能性のあるアプリケーションについてユーザーに警告します。 Google Playプロテクトは、 Googleモバイルサービスを搭載したデバイスでデフォルトで有効になっており、GooglePlayの外部からアプリをインストールするユーザーにとって特に重要です。
2022-05-01セキュリティパッチレベルの脆弱性の詳細
以下のセクションでは、2022-05-01パッチレベルに適用される各セキュリティの脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。以下の表に問題が記載されており、CVE ID、関連する参照、脆弱性の種類、重大度、および更新されたAOSPバージョン(該当する場合)が含まれます。可能な場合は、問題に対処した公開変更を、AOSP変更リストなどのバグIDにリンクします。複数の変更が単一のバグに関連している場合、追加の参照はバグIDに続く番号にリンクされます。 Android 10以降を搭載したデバイスは、セキュリティアップデートとGooglePlayシステムアップデートを受け取る場合があります。
フレームワーク
このセクションの最も深刻な脆弱性は、必要なユーザー実行特権を持つ特権のローカル昇格につながる可能性があります。
| CVE | 参考文献 | タイプ | 重大度 | 更新されたAOSPバージョン |
|---|---|---|---|---|
| CVE-2021-39662 | A-197302116 | EoP | 高い | 11、12 |
| CVE-2022-20004 | A-179699767 | EoP | 高い | 10、11、12、12L |
| CVE-2022-20005 | A-219044664 | EoP | 高い | 10、11、12、12L |
| CVE-2022-20007 | A-211481342 | EoP | 高い | 10、11、12、12L |
| CVE-2021-39700 | A-201645790 | ID | 適度 | 10、11、12 |
システム
このセクションで最も深刻な脆弱性は、追加の実行特権を必要とせずに、特権のローカル昇格につながる可能性があります。
| CVE | 参考文献 | タイプ | 重大度 | 更新されたAOSPバージョン |
|---|---|---|---|---|
| CVE-2022-20113 | A-205996517 | EoP | 高い | 12、12L |
| CVE-2022-20114 | A-211114016 | EoP | 高い | 10、11、12、12L |
| CVE-2022-20116 | A-212467440 | EoP | 高い | 12、12L |
| CVE-2022-20010 | A-213519176 | ID | 高い | 12、12L |
| CVE-2022-20011 | A-214999128 | ID | 高い | 10、11、12、12L |
| CVE-2022-20115 | A-210118427 | ID | 高い | 12、12L |
| CVE-2021-39670 | A-204087139 | DoS | 高い | 12、12L |
| CVE-2022-20112 | A-206987762 | DoS | 高い | 10、11、12、12L |
GooglePlayシステムのアップデート
次の問題は、プロジェクトメインラインコンポーネントに含まれています。
| 成分 | CVE |
|---|---|
| MediaProvider | CVE-2021-39662 |
2022-05-05セキュリティパッチレベルの脆弱性の詳細
以下のセクションでは、2022-05-05パッチレベルに適用される各セキュリティの脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。以下の表に問題が記載されており、CVE ID、関連する参照、脆弱性の種類、重大度、および更新されたAOSPバージョン(該当する場合)が含まれます。可能な場合は、問題に対処した公開変更を、AOSP変更リストなどのバグIDにリンクします。複数の変更が単一のバグに関連している場合、追加の参照はバグIDに続く番号にリンクされます。
カーネルコンポーネント
このセクションで最も深刻な脆弱性は、追加の実行特権を必要とせずに、システムライブラリの特権をローカルに昇格させる可能性があります。
| CVE | 参考文献 | タイプ | 重大度 | 成分 |
|---|---|---|---|---|
| CVE-2022-0847 | A-220741611 アップストリームカーネル[ 2 ][ 3 ] | EoP | 高い | パイプ |
| CVE-2022-20009 | A-213172319 アップストリームカーネル[ 2 ] | EoP | 高い | Linux |
| CVE-2022-20008 | A-216481035 アップストリームカーネル[ 2 ][ 3 ] | ID | 高い | SDMMC |
| CVE-2021-22600 | A-213464034 アップストリームカーネル | EoP | 適度 | カーネル |
MediaTekコンポーネント
これらの脆弱性はMediaTekコンポーネントに影響を及ぼし、詳細はMediaTekから直接入手できます。これらの問題の重大度評価は、MediaTekによって直接提供されます。
| CVE | 参考文献 | 重大度 | 成分 |
|---|---|---|---|
| CVE-2022-20084 | A-223071148 M-ALPS06498874 * | 高い | テレフォニー |
| CVE-2022-20109 | A-223072269 M-ALPS06399915 * | 高い | イオン |
| CVE-2022-20110 | A-223071150 M-ALPS06399915 * | 高い | イオン |
クアルコムのコンポーネント
これらの脆弱性はクアルコムのコンポーネントに影響を及ぼし、適切なクアルコムのセキュリティ情報またはセキュリティアラートでさらに詳しく説明されています。これらの問題の重大度評価は、クアルコムから直接提供されています。
| CVE | 参考文献 | 重大度 | 成分 |
|---|---|---|---|
| CVE-2022-22057 | A-218337595 QC-CR#3077687 | 高い | 画面 |
| CVE-2022-22064 | A-218338071 QC-CR#3042282 QC-CR#3048959 QC-CR#3056532 QC-CR#3049158 [ 2 ] | 高い | WLAN |
| CVE-2022-22065 | A-218337597 QC-CR#3042293 QC-CR#3064612 | 高い | WLAN |
| CVE-2022-22068 | A-218337596 QC-CR#3084983 [ 2 ] | 高い | カーネル |
| CVE-2022-22072 | A-218339149 QC-CR#3073345 [ 2 ] | 高い | WLAN |
クアルコムのクローズドソースコンポーネント
これらの脆弱性はクアルコムのクローズドソースコンポーネントに影響を及ぼし、適切なクアルコムのセキュリティ情報またはセキュリティアラートでさらに詳しく説明されています。これらの問題の重大度評価は、クアルコムから直接提供されています。
| CVE | 参考文献 | 重大度 | 成分 |
|---|---|---|---|
| CVE-2021-35090 | A-204905205 * | 致命的 | クローズドソースコンポーネント |
| CVE-2021-35072 | A-204905110 * | 高い | クローズドソースコンポーネント |
| CVE-2021-35073 | A-204905209 * | 高い | クローズドソースコンポーネント |
| CVE-2021-35076 | A-204905151 * | 高い | クローズドソースコンポーネント |
| CVE-2021-35078 | A-204905326 * | 高い | クローズドソースコンポーネント |
| CVE-2021-35080 | A-204905287 * | 高い | クローズドソースコンポーネント |
| CVE-2021-35086 | A-204905289 * | 高い | クローズドソースコンポーネント |
| CVE-2021-35087 | A-204905111 * | 高い | クローズドソースコンポーネント |
| CVE-2021-35094 | A-204905838 * | 高い | クローズドソースコンポーネント |
| CVE-2021-35096 | A-204905290 * | 高い | クローズドソースコンポーネント |
| CVE-2021-35116 | A-209469826 * | 高い | クローズドソースコンポーネント |
カーネルLTS
次の表に、セキュリティパッチレベルに準拠するためのカーネルバージョンの最小要件を示します。 Android起動バージョンは、起動時にデバイス上にあったAndroid OSのバージョンを指し、カーネルバージョンは、現在デバイス上にあるLinuxカーネルのバージョンを指します。
| 参考文献 | AndroidOS起動バージョン | カーネルバージョン | 最小更新バージョン |
|---|---|---|---|
| A-202441831 | 11 | 5.4 | 5.4.147 |
| A-204345773 | 12 | 5.4 | 5.4.147 |
よくある質問と回答
このセクションでは、このセキュリティ情報を読んだ後に発生する可能性のある一般的な質問に回答します。
1.これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?
デバイスのセキュリティパッチレベルを確認する方法については、Androidのバージョンを確認して更新するをご覧ください。
- 2022-05-01以降のセキュリティパッチレベルは、2022-05-01セキュリティパッチレベルに関連するすべての問題に対処します。
- 2022-05-05以降のセキュリティパッチレベルは、2022-05-05セキュリティパッチレベルおよび以前のすべてのパッチレベルに関連するすべての問題に対処します。
これらのアップデートを含むデバイスメーカーは、パッチ文字列レベルを次のように設定する必要があります。
- [ro.build.version.security_patch]:[2022-05-01]
- [ro.build.version.security_patch]:[2022-05-05]
Android 10以降の一部のデバイスでは、GooglePlayシステムアップデートに2022-05-01セキュリティパッチレベルと一致する日付文字列が含まれます。セキュリティ更新プログラムのインストール方法の詳細については、この記事を参照してください。
2.このセキュリティ情報に2つのセキュリティパッチレベルがあるのはなぜですか?
このセキュリティ情報には2つのセキュリティパッチレベルがあるため、Androidパートナーは、すべてのAndroidデバイスで類似している脆弱性のサブセットをより迅速に修正できます。 Androidパートナーは、このセキュリティ情報のすべての問題を修正し、最新のセキュリティパッチレベルを使用することをお勧めします。
- 2022-05-01セキュリティパッチレベルを使用するデバイスには、そのセキュリティパッチレベルに関連するすべての問題と、以前のセキュリティ情報で報告されたすべての問題の修正が含まれている必要があります。
- 2022-05-05以降のセキュリティパッチレベルを使用するデバイスは、この(および以前の)セキュリティ情報に該当するすべてのパッチを含める必要があります。
パートナーは、対処しているすべての問題の修正を1回の更新にバンドルすることをお勧めします。
3. [タイプ]列のエントリはどういう意味ですか?
脆弱性の詳細テーブルの[タイプ]列のエントリは、セキュリティの脆弱性の分類を参照しています。
| 略語 | 意味 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 特権の昇格 |
| ID | 情報開示 |
| DoS | サービス拒否 |
| 該当なし | 分類できません |
4. [参照]列のエントリはどういう意味ですか?
脆弱性の詳細テーブルの[参照]列の下のエントリには、参照値が属する組織を識別するプレフィックスが含まれている場合があります。
| プレフィックス | 参照 |
|---|---|
| A- | AndroidのバグID |
| QC- | クアルコムの参照番号 |
| M- | MediaTek参照番号 |
| N- | NVIDIA参照番号 |
| B- | Broadcom参照番号 |
| U- | UNISOC参照番号 |
5.[参照]列のAndroidバグIDの横にある*はどういう意味ですか?
公開されていない問題には、対応する参照IDの横に*が付いています。この問題のアップデートは通常、 Googleデベロッパーサイトから入手できるPixelデバイス用の最新のバイナリドライバーに含まれています。
6.セキュリティの脆弱性がこのセキュリティ情報とPixelセキュリティ情報などのデバイス/パートナーのセキュリティ情報に分かれているのはなぜですか?
このセキュリティ情報に記載されているセキュリティの脆弱性は、Androidデバイスで最新のセキュリティパッチレベルを宣言するために必要です。デバイス/パートナーのセキュリティ情報に記載されている追加のセキュリティの脆弱性は、セキュリティパッチレベルの宣言には必要ありません。 Androidデバイスおよびチップセットのメーカーは、 Google 、 Huawei 、 LGE 、 Motorola 、 Nokia 、 Samsungなどの自社製品に固有のセキュリティ脆弱性の詳細を公開する場合もあります。
バージョン
| バージョン | 日にち | ノート |
|---|---|---|
| 1.0 | 2022年5月2日 | 速報公開 |
| 1.1 | 2022年5月3日 | Bulletinが改訂され、AOSPリンクが含まれるようになりました |