Google、6月のAndroid月例セキュリティパッチ公開　クリティカルは4件

　Googleは6月1日（現地時間）、6月のAndroidセキュリティアップデートを公開、2日にはその内容を更新した。セキュリティパッチレベルは恒例通り2020-06-01と2020-06-05の2つに分けられている。

【こちらも】Google、5月のAndroid月例セキュリティパッチ公開　クリティカルは3件

　今回のアップデートのうち、深刻度が最も高いクリティカルに分類されるのは、2020-06-01のシステムコンポーネントに含まれる2件と、2020-06-05のQualcommクローズドコンポーネントに含まれる2件の計4件。

　このうち最も深刻度の高いのは、06-01のシステムコンポーネントに含まれるもので、リモートの攻撃者が特別に細工したトランスミッションによって、特権ブロセスのコンテキスト内で任意のコードを実行する可能性があるという脆弱性に対応するものだ（CVE-2020-0117、CVE-2020-8597）。

■2020-06-01セキュリティパッチレベルの詳細

　フレームワーク、メディアフレームワーク、システムの3セクションで全9件の脆弱性に対応した。

●フレームワークの詳細

　3件で深刻度はすべて高。このうち最も深刻度の高いものは、ローカルの悪意あるアプリケーションが、ユーザーの操作要件をバイパスして追加のアクセス権を得てしまう可能性があるというもの（CVE-2020-0114、CVE-2020-0115）だ。対応するAndroidバージョンは0114が10のみ、0115が8.0～10となっている。

●メディアフレームワークの詳細

　2件で深刻度はいずれも高。このうちで深刻度が高いものは、ローカルの悪意あるアプリケーションが、ユーザーの操作要件をバイパスして追加のアクセス権を得てしまう可能性があるというもの（CVE-2020-0118）で、対応するAndroidバージョンは10。

●システムの詳細

　4件で深刻度は冒頭で紹介した今回のセキュリティパッチレベルのうち、もっとも深刻度の高いクリティカルが2件、高が2件。深刻度がクリティカルに分類されているCVE-2020-0117、CVE-2020-8597に関して、対応するAndroidのバージョンはいずれも10。

■2020-06-05セキュリティパッチレベルの詳細

　フレームワーク、システム、カーネルコンポーネント、Qualcommコンポーネント、Qualcommクローズドコンポーネントの5セクションで全25件の脆弱性に対応した。

●フレームワークの詳細

　1件で深刻度は高。悪意あるローカルのアプリケーションがOSの保護をバイパスして、他のアプリケーションから隔離されたデータにアクセスする可能性があるというもの（CVE-2019-2219）。対応するAndroidバージョンは8.0～10。

●システムの詳細

　1件で深刻度は高。リモートの攻撃者がユーザーの操作要件をバイパスして、追加の権限にアクセスしてしまう可能性があるという脆弱性に対応するもの（CVE-2019-2219）。対応するAndroidバージョンは10。

●カーネルコンポーネントの詳細

　3件で深刻度はいずれも高。このうち深刻度の高いものは、ローカルの攻撃者が特別に細工したアプリケーションを使用して、特権プロセス内のコンテキスト内で任意のコードを実行してしまう可能性があるという脆弱性に対応するもの（CVE-2020-8647、CVE-2020-8648）。

●Qualcommコンポーネント

　4件で深刻度は高が3件、中程度が1件。これらはQualcommのコンポーネントに関する、カメラ、カーネル、WLAN、ディスプレイに関する脆弱性にそれぞれ対応しているが、詳細情報については恒例通りQualcomm社から直接提供される。

●Qualcommクローズドコンポーネント

　16件と、今月も多くの脆弱性に対応している。深刻度はクリティカルが2件、他14件が高となっている。なお、このセクションはQualcommの非公開コンポーネントであるため、詳細については明らかにされていない。情報についてはこちらも恒例通りQualcomm社から直接提供される。

　2020年も新型コロナウイルス禍とともにすでに半分がすぎようとしている。今回のアップデートではこれまでより脆弱性の数においては若干落ち着いてきたようにも思えるが、まだまだ新しい脆弱性も報告され続けている。

　Androidのセキュリティパッチは、各製品ベンダーのパッチ対応の利便性を考え、01と05の2つにわけて公開されているが、各ベンダーはこれらを1つにまとめてユーザーに提供することが推奨されている。このため、ユーザーにはほとんどの場合は1つにまとめられたセキュリティアップデートが提供されることになる。

　またほとんどの場合、アップデートは自動で適用されることになっているため、ユーザー側では意識せずにアップデートが適用されているケースも多い。ただし、自分の機器のアップデート設定などは、ある程度定期的に確認することをお勧めしたい。（記事：kurishobo・記事一覧を見る）