Androidセキュリティ速報—2022年6月

2022年6月6日公開| 2022年7月22日更新

Android Security Bulletinには、Androidデバイスに影響を与えるセキュリティの脆弱性の詳細が含まれています。 2022-06-05以降のセキュリティパッチレベルは、これらすべての問題に対処します。デバイスのセキュリティパッチレベルを確認する方法については、Androidのバージョンを確認して更新するをご覧ください。

Androidパートナーには、公開の少なくとも1か月前にすべての問題が通知されます。これらの問題のソースコードパッチは、Android Open Source Project(AOSP)リポジトリにリリースされており、このセキュリティ情報からリンクされています。このセキュリティ情報には、AOSP以外のパッチへのリンクも含まれています。

これらの問題の中で最も深刻なのは、システムコンポーネントの重大なセキュリティの脆弱性であり、追加の実行権限を必要とせずにリモートでコードが実行される可能性があります。重大度の評価は、プラットフォームとサービスの緩和策が開発目的でオフになっている、または正常にバイパスされた場合に、脆弱性の悪用が影響を受けるデバイスに与える可能性のある影響に基づいています。

Androidプラットフォームのセキュリティを向上させるAndroidセキュリティプラットフォーム保護とGooglePlayプロテクトの詳細については、 AndroidとGooglePlayプロテクトの緩和策のセクションを参照してください。

AndroidおよびGoogleサービスの緩和

これは、 AndroidセキュリティプラットフォームGooglePlayプロテクトなどのサービス保護によって提供される緩和策の概要です。これらの機能により、Androidでセキュリティの脆弱性が悪用される可能性が低くなります。

  • Androidプラットフォームの新しいバージョンでの機能強化により、Androidでの多くの問題の悪用がより困難になっています。可能な場合は、すべてのユーザーが最新バージョンのAndroidに更新することをお勧めします。
  • Androidセキュリティチームは、 Google Playプロテクトを通じて不正使用を積極的に監視し、有害な可能性のあるアプリケーションについてユーザーに警告します。 Google Playプロテクトは、 Googleモバイルサービスを搭載したデバイスでデフォルトで有効になっており、GooglePlayの外部からアプリをインストールするユーザーにとって特に重要です。

2022-06-01セキュリティパッチレベルの脆弱性の詳細

以下のセクションでは、2022-06-01パッチレベルに適用される各セキュリティの脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。以下の表に問題が記載されており、CVE ID、関連する参照、脆弱性の種類重大度、および更新されたAOSPバージョン(該当する場合)が含まれます。可能な場合は、問題に対処した公開変更を、AOSP変更リストなどのバグIDにリンクします。複数の変更が単一のバグに関連している場合、追加の参照はバグIDに続く番号にリンクされます。 Android 10以降を搭載したデバイスは、セキュリティアップデートとGooglePlayシステムアップデートを受け取る場合があります。

フレームワーク

このセクションで最も深刻な脆弱性は、追加の実行特権を必要とせずに、特権のローカル昇格につながる可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2021-39691 A-157929241 EoP高い10、11、12
CVE-2022-20006 A-151095871 EoP高い10、11、12、12L
CVE-2022-20125 A-194402515 EoP高い10、11、12、12L
CVE-2022-20138 A-210469972 [ 2 ] EoP高い10、11、12、12L

メディアフレームワーク

このセクションの脆弱性により、追加の実行権限を必要とせずにリモートでコードが実行される可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2022-20130 A-224314979 RCE致命的10、11、12、12L

システム

このセクションで最も深刻な脆弱性は、追加の実行権限を必要とせずにリモートでコードが実行される可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2022-20127 A-221862119 RCE致命的10、11、12、12L
CVE-2022-20140 A-227618988 EoP致命的12、12L
CVE-2022-20145 A-201660636 EoP致命的11
CVE-2022-20126 A-203431023 EoP高い10、11、12、12L
CVE-2022-20133 A-206807679 EoP高い10、11、12、12L
CVE-2022-20134 A-218341397 [ 2 ] EoP高い10、11、12、12L
CVE-2022-20135 A-220303465 EoP高い10、11、12、12L
CVE-2022-20137 A-206986392 EoP高い12、12L
CVE-2022-20142 A-216631962 EoP高い10、11、12、12L
CVE-2022-20144 A-187702830 [ 2 ] EoP高い10、11、12、12L
CVE-2022-20147 A-221216105 EoP高い10、11、12、12L
CVE-2022-20123 A-221852424 ID高い10、11、12、12L
CVE-2022-20131 A-221856662 ID高い10、11、12、12L
CVE-2022-20129 A-217934478 [ 2 ] DoS高い10、11、12、12L
CVE-2022-20143 A-220735360 DoS高い10、11、12、12L

GooglePlayシステムのアップデート

次の問題は、プロジェクトメインラインコンポーネントに含まれています。

成分CVE
メディアコーデックCVE-2022-20130

2022-06-05セキュリティパッチレベルの脆弱性の詳細

以下のセクションでは、2022-06-05パッチレベルに適用される各セキュリティの脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。以下の表に問題が記載されており、CVE ID、関連する参照、脆弱性の種類重大度、および更新されたAOSPバージョン(該当する場合)が含まれます。可能な場合は、問題に対処した公開変更を、AOSP変更リストなどのバグIDにリンクします。複数の変更が単一のバグに関連している場合、追加の参照はバグIDに続く番号にリンクされます。

カーネルコンポーネント

このセクションで最も深刻な脆弱性は、追加の実行特権を必要とせずに、特権のローカル昇格につながる可能性があります。

CVE参考文献タイプ重大度成分
CVE-2021-4154 A-218836280
アップストリームカーネル
EoP高いカーネル
CVE-2022-20141 A-112551163
アップストリームカーネル
EoP高いInetソケット
CVE-2022-24958 A-220261709
アップストリームカーネル[ 2 ][ 3 ][ 4 ]
EoP高いUSB
CVE-2022-25258 A-222023189
アップストリームカーネル[ 2 ]
EoP高いUSB
CVE-2022-20132 A-188677105
アップストリームカーネル[ 2 ][ 3 ][ 4 ] [ 5 ] [ 6 ] [ 7 ]
ID高いUSB HID
CVE-2022-25375 A-162326603
アップストリームカーネル
ID高いRNDISドライバー

MediaTekコンポーネント

この脆弱性はMediaTekコンポーネントに影響を及ぼし、詳細はMediaTekから直接入手できます。この問題の重大度評価は、MediaTekによって直接提供されます。

CVE参考文献重大度成分
CVE-2022-21745
A-228972609
M-ALPS06468872 *
高いWIFIファームウェア

Unisocコンポーネント

この脆弱性はUnisocコンポーネントに影響を及ぼし、詳細はUnisocから直接入手できます。この問題の重大度評価は、Unisocによって直接提供されます。

CVE参考文献重大度成分
CVE-2022-20210
A-228868888
U-1770644 *
致命的モデム

クアルコムのクローズドソースコンポーネント

これらの脆弱性はクアルコムのクローズドソースコンポーネントに影響を及ぼし、適切なクアルコムのセキュリティ情報またはセキュリティアラートでさらに詳しく説明されています。これらの問題の重大度評価は、クアルコムから直接提供されています。

CVE参考文献重大度成分
CVE-2021-35083
A-209481130 *高いクローズドソースコンポーネント
CVE-2021-35102
A-209469926 *高いクローズドソースコンポーネント
CVE-2021-35111
A-209469960 *高いクローズドソースコンポーネント
CVE-2022-22082 A-223211217 *高いクローズドソースコンポーネント
CVE-2022-22083 A-223210917 *高いクローズドソースコンポーネント
CVE-2022-22084
A-223209816 *高いクローズドソースコンポーネント
CVE-2022-22085 A-223209306 *高いクローズドソースコンポーネント
CVE-2022-22086 A-223211218 *高いクローズドソースコンポーネント
CVE-2022-22087 A-223209610 *高いクローズドソースコンポーネント
CVE-2022-22090 A-223210918 *高いクローズドソースコンポーネント

よくある質問と回答

このセクションでは、このセキュリティ情報を読んだ後に発生する可能性のある一般的な質問に回答します。

1.これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?

デバイスのセキュリティパッチレベルを確認する方法については、Androidのバージョンを確認して更新するをご覧ください。

  • 2022-06-01以降のセキュリティパッチレベルは、2022-06-01セキュリティパッチレベルに関連するすべての問題に対処します。
  • 2022-06-05以降のセキュリティパッチレベルは、2022-06-05セキュリティパッチレベルおよび以前のすべてのパッチレベルに関連するすべての問題に対処します。

これらのアップデートを含むデバイスメーカーは、パッチ文字列レベルを次のように設定する必要があります。

  • [ro.build.version.security_patch]:[2022-06-01]
  • [ro.build.version.security_patch]:[2022-06-05]

Android 10以降の一部のデバイスでは、GooglePlayシステムアップデートに2022-06-01セキュリティパッチレベルと一致する日付文字列が含まれます。セキュリティ更新プログラムのインストール方法の詳細については、この記事を参照してください。

2.このセキュリティ情報に2つのセキュリティパッチレベルがあるのはなぜですか?

このセキュリティ情報には2つのセキュリティパッチレベルがあるため、Androidパートナーは、すべてのAndroidデバイスで類似している脆弱性のサブセットをより迅速に修正できます。 Androidパートナーは、このセキュリティ情報のすべての問題を修正し、最新のセキュリティパッチレベルを使用することをお勧めします。

  • 2022-06-01セキュリティパッチレベルを使用するデバイスには、そのセキュリティパッチレベルに関連するすべての問題と、以前のセキュリティ情報で報告されたすべての問題の修正が含まれている必要があります。
  • 2022-06-05以降のセキュリティパッチレベルを使用するデバイスは、この(および以前の)セキュリティ情報に該当するすべてのパッチを含める必要があります。

パートナーは、対処しているすべての問題の修正を1回の更新にバンドルすることをお勧めします。

3. [タイプ]列のエントリはどういう意味ですか?

脆弱性の詳細テーブルの[タイプ]列のエントリは、セキュリティの脆弱性の分類を参照しています。

略語意味
RCEリモートコード実行
EoP特権の昇格
ID情報開示
DoSサービス拒否
該当なし分類できません

4. [参照]列のエントリはどういう意味ですか?

脆弱性の詳細テーブルの[参照]列の下のエントリには、参照値が属する組織を識別するプレフィックスが含まれている場合があります。

プレフィックス参照
A- AndroidのバグID
QC-クアルコムの参照番号
M- MediaTek参照番号
N- NVIDIA参照番号
B- Broadcom参照番号
U- UNISOC参照番号

5.[参照]列のAndroidバグIDの横にある*はどういう意味ですか?

公開されていない問題には、対応する参照IDの横に*が付いています。この問題のアップデートは通常、 Googleデベロッパーサイトから入手できるPixelデバイス用の最新のバイナリドライバーに含まれています。

6.セキュリティの脆弱性がこのセキュリティ情報とPixelセキュリティ情報などのデバイス/パートナーのセキュリティ情報に分かれているのはなぜですか?

このセキュリティ情報に記載されているセキュリティの脆弱性は、Androidデバイスで最新のセキュリティパッチレベルを宣言するために必要です。デバイス/パートナーのセキュリティ情報に記載されている追加のセキュリティの脆弱性は、セキュリティパッチレベルの宣言には必要ありません。 Androidデバイスおよびチップセットのメーカーは、 GoogleHuaweiLGEMotorolaNokiaSamsungなどの自社製品に固有のセキュリティ脆弱性の詳細を公開する場合もあります。

バージョン

バージョン日にちノート
1.0 2022年6月6日速報公開
1.1 2022年6月7日Bulletinが改訂され、AOSPリンクが含まれるようになりました
2.0 2022年6月28日CVE-2021-39624は、リグレッションの可能性があるため、2022-06-01SPLから削除されました。将来のSPLのために、この修正の更新バージョンが必要になる可能性があります。
3.0 2022年7月22日CVE-2022-20124は、リグレッションの可能性があるため、2022-06-01SPLから削除されました。将来のSPLのために、この修正の更新バージョンが必要になります。