Google、2020年最初のAndroid月例セキュリティパッチ公開 クリティカルは2件

2020年1月7日 18:21

小

中

大

印刷

 Googleは6日、2020年最初となるAndroidのセキュリティパッチを公開した。パッチは通例のように、2020-1-1と2020-1-5の2つにわけて公開されている。

 今回のパッチでは、1-1バージョンと1-5バージョンでそれぞれ3つのジャンルの脆弱性に対応、またはアップデートが含まれている。

 このうち、最も深刻な脆弱性は、1-1バージョンに含まれるメディアフレームワークに関するもので、リモートの攻撃者が特別に作られたファイルを使用することによって、特権プロセスのコンテキスト内で任意のコードを実行することができるようになるという。

■2020-1-1セキュリティアップデートの内容
 2010-1-1バージョンに含まれるセキュリティパッチは、

・フレームワークに関するもの
 3件4項目。このうち最も深刻度の高いものは、ローカルの悪意あるアプリケーションが、ユーザーの操作をバイパスしてアクセス権を上昇する可能性があるという。

 なお、CVE-2020-0001に分類されている特権の上昇に関する脆弱性については、Android 10に関しては中程度の深刻度、その他3項目については深刻度は高と分類されている。

・メディアフレームワークに関するもの
 1件2項目。冒頭でも触れたように、今回のアップデートでは最も深刻な脆弱性に対応するもので、CVE-2020-0002に分類されているが、深刻度はAndroid 10に関しては中程度に、8.0以降のバージョンではクリティカルに分類されている。

・システムに関するもの
 3件3項目。このうち、最も深刻な脆弱性については、追加の実行権限を必要とせず、リモートから情報公開されてしまうというもの。8.0以降のすべてのAndroidのバージョンで深刻度は高。

 なお、CVE-2020-0002のメディアコーデックに関する更新はGoogle Play経由のプロジェクトメインラインコンポーネントに含まれており、Playストアから更新が提供される。

■2020-1-5セキュリティアップデートの内容
 2020-1-5に含まれるセキュリティパッチは、

・カーネルコンポーネントに関するもの
 4件。うちCVE-2019-17666に分類されるRealtekのWiFiドライバーに関するものが、深刻度クリティカル、その他3件は深刻度が高。

・Qualcommコンポーネントに関するもの
 11件ですべて深刻度は高。これらに関する詳細な情報はQualcomm Security bulletin または security alertで提供されている。

・Qualcommのクローズドコンポーネントに関するもの
 18件でこちらも深刻度はすべて高。クローズドコンポーネントであるため、詳細情報についてはQualcommから直接提供される。

 Androidのセキュリティパッチは、基本的にメーカーまたは通信会社からの提供となるため、各社の準備が整うのを待つことになる。だが今回のアップデートでは深刻度クリティカルの脆弱性に対する修正が2件含まれているため、とくにAndroidのバージョンが8.0から9.0までのユーザーは配布情報などに注意し、しっかりとアップデートを行うことが求められる。

 脆弱性等の詳細については以下のページを参照
 https://source.android.com/security/bulletin/2020-01-01#qualcomm-components(記事:kurishobo・記事一覧を見る

関連キーワードGoogle脆弱性AndroidセキュリティQualcommGoogle Play

広告