Google、12月のAndroidセキュリティ更新公開 クリティカル10件含む46件を修正

2020年12月8日 16:54

 Googleは7日、Androidシステムのセキュリティアップデートを公開した。今回のアップデートでは、46件の脆弱性が修正されており、そのうち10件が深刻度クリティカルとなっている。アップデートは通例通り、2020-12-01と2020-12-05の2つのパッチレベルに分けて公開されている。

【前月は】Google、11月のAndroidセキュリティ更新公開 深刻度クリティカルは5件

 今回の修正のうち、もっとも深刻度の高い脆弱性は、メディアフレームワークのセクションに含まれるもので、リモートの攻撃者が特別に細工したファイルを使用して、特権階級のコンテキスト内で任意のコードを実行してしまう可能性があるというものだ。

■2020-12-01セキュリティパッチレベルの詳細

 フレームワーク、メディアフレームワーク、システムの各セクションであわせて13件の修正が行われている。うち1件の冒頭に挙げた深刻度クリティカルの修正を含んでいる。

●フレームワーク

 8件で深刻度はいずれも高。このうち深刻度の高い脆弱性は、ローカルにある悪意あるアプリケーションがユーザーの操作要件を無視して、追加のアクセス権を取得してしまう可能性があるというもの(CVE-2020-0099など)。対象となるAndroidのバージョンは8.0~10、および11(CVE-2020-0440)。

●メディアフレームワーク

 2件でうち1件は冒頭でとりあげた深刻度クリティカルの脆弱性(CVE-2020-0458)。対象となるAndroidバージョンはクリティカルの脆弱性が8.0~10、その他が10~11である。

●システム

 3件で深刻度はいずれも高。このセクションでもっとも深刻度の高い脆弱性は、追加のアクセス権を必要とせずに、リモートからの情報開示につながるというもの(CVE-2020-0460など)。対象となるAndroidバージョンはCVE-2020-0460についてが11のみ、その他は8.0~11となっている。

 なお、今回のアップデートではGooglePlayシステムのセキュリティアップデートは含まれていない。

■2020-12-05セキュリティパッチレベルの詳細

 カーネルコンポーネント、Broadcomコンポーネント、MedaTekコンポーネント、Qualcommコンポーネント、Qualcommクローズドソースコンポーネントの5セクションで43件の修正が行われている。この中には9件の深刻度クリティカルな脆弱性に関する修正が含まれている。

●カーネルコンポーネント

 3件で深刻度はいずれも高。このうちもっとも深刻度の高い脆弱性は、ローカルの悪意あるアプリケーションが、特権プロセスのコンテキスト内で任意のコードを実行してしまう可能性があるというもの。

●Broadcomコンポーネント

 2件で深刻度はいずれも高。これらはBroadcom社のSoCを使用しているシステムに影響を与えるもので、詳細についてはBroadcomから直接入手できる。

●MediaTekコンポーネント

 3件でいずれも深刻度は高。これらはMediaTekのSoCを使用しているシステムに影響を与えるもので、詳しい情報については直接MediaTekから直接提供される。

●Qualcommコンポーネント

 5件で1件が深刻度クリティカル(CVE-2020-11225)、その他はいずれも深刻度高となっている。これらの脆弱性の詳細な情報については、Qualcommから直接提供される。

●Qualcommクローズドソースコンポーネント

 20件で、深刻度は8件(CVE-2020-11225など)がクリティカル、その他はいずれも高となっている。これらの問題に関する詳細は同社のセキュリティ情報、またはセキュリティアラートから直接入手可能になっている。

 今回は、2020年の締めくくとなる12月ということで、46件と多めの修正がなされている。例によってAndroidのアップデートは、キャリアまたは機種の提供メーカーから直接ユーザーに配布されるため、アップデートの適用については配信を待つしかない。とくにQualcommのSoCによる機種のユーザーについては、9件のクリティカルを含む25件の修正が提供されており、システム更新などのニュースはしっかりと確認しておく必要がある。(記事:kurishobo・記事一覧を見る

関連記事

最新記事