Androidの9月セキュリティアップデート発表 Android 10の脆弱性にも対応

2019年9月9日 17:51

小

中

大

印刷

表1 2019-09-01のフレームワークに関する脆弱性

表1 2019-09-01のフレームワークに関する脆弱性[写真拡大]

写真の拡大

  • 表2 2019-09-01のメディアフレームワークに関する脆弱性
  • 表3 2019-09-01のシステムに関する脆弱性
  • 表4 2019-09-05のカーネルに関する脆弱性
  • 表5 2019-09-05のNVIDIAカーネルに関する脆弱性
  • 表6 2019-09-05のQualcommカーネルに関する脆弱性
  • 表7 2019-09-05のQualcomm非公開コンポーネントに関する脆弱性

 Googleは、9月のセキュリティ報告を従い、2019-09-01と2019-09-05の二つのセキュリティレベルに分けて発表した。この中にはつい先日Pixelシリーズに配布されたばかりのAndroid 10に対応するものも含まれている。

【前月は】Androidの8月セキュリティアップデートが公開 26件の脆弱性を修正

■「2019-09-01」に含まれる脆弱性

 このセキュリティパッチで修正される脆弱性は、フレームワークに関するもの5件(表1)、メディアフレームワークに関するもの2件、システムに関するもの6件の計13件。

 フレームワークに関する脆弱性のうちには、9月初めにリリースされたばかりのAndroid 10に関する脆弱性も1件含まれる(CVE-2019-9254)。

 これらのうちもっとも深刻なものは、ローカルに設置されたアプリケーションによって、特権プロセスのコンテキスト内で任意のコードを実行される可能性があるというもの。いずれも重大度合は「高」である。

 メディアフレームワークに関する脆弱性についても、Android 10に関する脆弱性が1件含まれる(CVE-2019-2108)。

 これらのうちもっとも深刻なものでは、リモートの攻撃者が、特権プロセルのコンテキスト内で任意のコードを実行する可能性があるというもの。これに関しての重大度合はいずれも「クリティカル」。

 またシステムに関するもので、もっとも深刻な脆弱性は、リモートの攻撃者が特別に細工をしたトランスミッションを利用し、特権プロセスのコンテキスト内で任意のコードを実行する可能性があるというもの。これに関しての重大度合はいずれも「高」。

■「2019-09-05」に含まれる脆弱性

 このセキュリティパッチで修正される脆弱性は、カーネルコンポーネントに関するもの2件(表4)、NVIDIAコンポーネントに関するもの3件(表5)、Qualcommコンポーネントに関するもの17件(表6)、Qualcommの非公開コンポーネントに関するもの14件(表7)である。

 カーネルコンポーネントに関する脆弱性のうちもっとも深刻なものは、悪意のあるローカルアプリケーションによって、特権プロセスのコンテキスト内で任意のコードが実行される可能性があるとのことで、重大度合は「高」。

 NVIDIAコンポーネントに関するものでは、もっとも深刻なものは、特権プロセスのコンテキスト内で任意のコードが実行される可能性があるとのことで、いずれも重大度合は「高」。

 QualcommコンポーネントおよびQualcomm非公開コンポーネントに関する脆弱性については、重大度合等の情報、セキュリティパッチはQualcomm社からの提供となる。現在の発表では、あわせて31件の脆弱性のうち「クリティカル」が非公開のうち2件、「高」が残りの29件となっている。

※表はいずれもhttps://source.android.com/security/bulletin/2019-09-01.htmlより抜粋。詳細は該当ページを参照

■対応について

 これらのセキュリティパッチは、いずれも各ベンダーからの提供となる。各ベンダーへはGoogleからは少なくとも公開の1月前にはすべての問題が通知されている。

 2019-09-05セキュリティパッチレベル以降のパッチレベルにおいて、上記すべての脆弱性に対応したものとなるため、ユーザーは順次提供されるセキュリティパッチに注目し、これらを適用することが推奨されている。(記事:kurishobo・記事一覧を見る

関連キーワードGoogle脆弱性AndroidQualcommNVIDIAPixel

広告