Google、11月のAndroid月例セキュリティアップデートをリリース

2019年11月8日 19:05

小

中

大

印刷

2019-11-01のフレームワーク関連の脆弱性(Android Open Source Projectより)

2019-11-01のフレームワーク関連の脆弱性(Android Open Source Projectより)[写真拡大]

写真の拡大

  • 2019-11-01のシステムセクション関連の脆弱性(Android Open Source Projectより)
  • 2019-11-05のカーネルコンポーネントセクションの脆弱性(Android Open Source Projectより)

 Googleは、11月4日から5日(米現地時間)にかけて、通例のセキュリティアップデートをリリースした。このリリースには、Androidのデバイスに影響を与える脆弱性に関する詳細な情報が含まれているが、2019-11-05のセキュリティパッチ以降では、それらの脆弱性の問題すべてについて対応している。

■11-01セキュリティパッチレベルに含まれる脆弱性は?

 ・フレームワーク
 最も深刻な場合、ユーザーの意図をバイパスして、ローカルにある悪意あるアプリケーションが勝手に権限を昇格してしまう可能性がある。このセクションではCVE-2019-2192、CVE-2019-2193などの6つの脆弱性に対応した。

 ・ライブラリ
 非特権プロセスにおいて、リモートの攻撃者が細工されたファイルを使用して任意のコードを実行することができてしまうというもの。CVE-2019-2201として登録され、重大度は高、ASOP(Android Open Source Project)8.0、8.1、9、10に対応する。

 ・メディアフレームワーク
 このセクションでもフレームワークと同様、最も深刻な場合、ユーザーの意図をバイパスして、ローカルにある悪意あるアプリケーションが勝手に権限を昇格してしまう可能性がある。CVE-2019-2202では深刻度は高、対応するASOPバージョンは9、10、CVE-2019-2203の深刻度も高。ASOPバージョンは8.0、8.1、9、10に対応する。

 ・システム
 このセクションでは最も深刻な場合、特別に細工されたファイルを使用するリモートの攻撃者が、特権プロセスのコンテキスト内で任意のコードを実行する可能性があるというもの。CVE-2019-2204、CVE-2019-2205、CVE-2019-2206の3つの深刻度クリティカルな脆弱性のほか、5つの深刻度高の脆弱性に対応している。

 なお、11-01セキュリティパッチレベルではGoogle Playシステムの更新は行われていない。

■2019-11-05セキュリティパッチレベルに含まれる内容は?

 ・フレームワーク
 このセクションの最も重大な脆弱性では、悪意あるローカルのアプリケーションにより、アプリケーションデータが、他のアプリケーションから隔離するOSの保護をバイパスしてしまう可能性がある。更新された脆弱性は2件で、CVE-2019-2196は深刻度高、更新されるAOSPバージョンは8.0、8.1、9、10。CVE-2019-2198では深刻度も高い¥、AOSPバージョンは8.0、8.1、9、10となっている。

 ・システム
 このセクションの脆弱性により、リモートの攻撃者が特別な細工をした通信によって、アクセス権の昇格を行うことができるようになる可能性がある。CVE-2019-2036として登録され、深刻度は高、更新されたAOSPバージョンは8.0、8.1、9、10である。

 ・カーネルコンポーネント
 最も深刻な脆弱性においては、ローカルの攻撃者が特権プロセスのコンテキスト内で任意のコードを実行できてしまう可能性がある。CVE-2019-2213ほか3つの深刻度高の脆弱性および深刻度中程度の1つの脆弱性に対応した。

 ・Qualcommコンポーネントおよびクローズドソースコンポーネント
 その他、Qualcommコンポーネントに関すの脆弱性対応のCVE-2019-2310をはじめとする3つのる深刻度高への対応、Qualcommクローズドソースコンポーネントに関する5つの深刻度クリティカルの脆弱性への対応、6つの深刻度高の脆弱性への対応がなされており、これらはQualcommより直接提供されることになっている。

 なお、当月のセキュリティパッチレベルも、通例にしたがい、各ベンダーから順次ユーザーへ提供される。各ユーザーにおいては、機器ベンダーやキャリアからのアップデート情報に注意し、不具合情報などもあわせて確認したうえで、すみやかなパッチ適用をこころがけたいものである。(記事:kurishobo・記事一覧を見る

関連キーワードGoogle脆弱性AndroidQualcommGoogle Play

広告

写真で見るニュース

  • クリスタ長堀の「クラペロ」のオープンイメージ(クリスタ長堀発表資料より)
  • JPL Small-Body Database Browserによる11月18日の「2019UR2」軌道。ここで見ると、地球とほぼ重なっていることが分かる。 (c) NASA
  • 2021年の量産開始が見込まれるメルセデス・ベンツ・eアクトロス(画像: ダイムラー社発表資料より)
  • 洛北阪急スクエアのイメージ(阪急商業開発の発表資料より)
  • トヨタ・ライズ(画像: トヨタ自動車の発表資料より)
  • 「GALAXY CRUISE」の画面イメージ。(c)国立天文台
  • 太陽圏を脱出し星間空間へと到達したボイジャー探査機 (c)  NASA/JPL-Caltech
  • 2019年元旦の初日の出。(画像: 全日空の発表資料より)
  • 「ペット&スパホテル伊豆ワン」の館内コミュニティサロン。(画像: リソルホールディングスの発表資料より)
 

広告

ピックアップ 注目ニュース