Google、2月のAndroid月例セキュリティパッチ公開 クリティカルは2件

2020年2月14日 12:20

小

中

大

印刷

 Googleは、Androidの2月の月例セキュリティアップデートを公開した。アップデートは通例のように02-01バージョンと02-05バージョンの2回に分けて公開。02-01バージョンでは2ジャンル、02-05バージョンでは3ジャンルの修正が含まれている。

【こちらも】Apple、2020年最初の各種OSアップデート iOS 13.3.1など配信

 修正全体の項目数こそ先月より減っているものの、クリティカルは先月に引き続き2件あった。このうち、最も深刻度の高い脆弱性は、2020-02-01セキュリティパッチレベルのうちシステムに関するもの。リモートの攻撃者が特別に細工したトランスミッションによって、特権プロセスのコンテキスト内で任意のコードを実行できてしまうという。

■2020-02-01セキュリティアップデートの内容

 このセキュリティパッチレベルでは、フレームワークに関するものと、システムに関するものの2ジャンルに関して、脆弱性の修正がなされている。

●フレームワークに関するもの

 7件7項目。深刻度はすべて高となっている。このうち最も深刻度の高い脆弱性は、ローカルの悪意あるアプリがユーザーの操作をバイパスして、アクセス権を上昇する可能性があるというもの。

●システムに関するもの

 6件7項目。深刻度はクリティカルが2項目、高が4項目、中が1項目となっている。このうち最も深刻度が高いものは、冒頭でも紹介した任意のコードが実行できてしまうというもので、対象はAndroid 8.0、8.1、9となっている(CVE-2020-0022)。なお同項目においてAndroid 10では深刻度は中に分類されている。

 このジャンルではもう1つ、情報開示に関する項目でクリティカルな脆弱性が修正されている。対象はAndroid 10(CVE-2020-0023)。

■2020-02-05セキュリティアップデートの内容

 このセキュリティパッチレベルでは、カーネルコンポーネントに関するもの、Qualcommコンポーネントに関するもの、Qualcommクローズドソースに関するものの3ジャンルに関して脆弱性の修正がなされている。

●カーネルコンポーネントに関するもの

 2件2項目。深刻度はいずれも高となっている。このうち深刻度の最も高いものでは、ローカルの攻撃者が特別に細工したファイルを使用して、特権プロセスのコンテキスト内で任意のコードを実行できてしまうというもの。

●Qualcommコンポーネントに関するもの

 6件6項目。カメラに関するもの2項目、カーネルに関するもの2項目、オーディオに関するものとグラフィックスに関係するものが各1項目で、いずれも深刻度は高。なお、通例通り、本ジャンルに関する詳細情報は直接Qualcommから提供されることになっている。

●Qualcommクローズドコンポーネントに関するもの

 4件4項目。深刻度はいずれも高。Qualcommのクローズドコンポーネントに関する詳細情報などは、Qualcommのセキュリティ情報、またはセキュリティアラートによって直接提供されることになっている。

 普及率も高く使用頻度の高いスマートフォンOSに関しては、脆弱性の影響度も高く、毎月定期的に脆弱性に関する情報と修正パッチが提供されていることに安心感もあるが、Androidの場合は各機器ベンダーからの提供となるため、どうしても多少のタイムラグができる。ただし各機器ベンダーを通すことによって、機器にあわない修正を適用してしまう危険性は低減される。

 ユーザーにとってはあまり意識しないうちに修正パッチが適用されてしまうケースも多いが、どのような脆弱性が存在していたのかといった情報を適切に把握しておくことも、セキュリティ意識の向上という面では大切なことだと言えるだろう。(記事:kurishobo・記事一覧を見る

関連キーワードGoogle脆弱性AndroidQualcomm

広告

広告

写真で見るニュース

  • AIQの取り組み。(画像:AIQ発表資料より)
  • (画像: NTTドコモの発表資料より)
  • 「GLC350e 4MATICクーペ」(画像: メルセデス・ベンツ日本)
  • ホンダ・オデッセイ用のリアガーニッシュ(画像: 本田技研工業の発表資料より)
 

広告

ピックアップ 注目ニュース