Google、10月のAndroid月例セキュリティパッチ公開 クリティカルはクローズドコンポーネントに6件

2020年10月13日 12:08

小

中

大

印刷

 Googleは10月6日、月例のAndroidセキュリティアップデートを公開した。通例の通り、2020-10-01と2020-10-05の2つのセキュリティパッチレベルに分けてリリースされており、10-01バージョンでは4セクションで20件、10-05バージョンでは4セクションで28件の脆弱性に対応したアップデートとなっている。

【前月は】Google、9月のAndroid月例セキュリティパッチ公開 クリティカルは8件

 今回もっとも深刻度の高いものはQualcommクローズドコンポーネントの6件だが、全体に関係あるものとしては、システムコンポーネントに含まれる深刻度高に分類される2件である。

 なお、10月からはAndroid 11に関するセキュリティパッチも通常の01と05のセキュリティレベルパッチに含まれるようになっているため、Android 11を使用中のユーザーは注意が必要である。

■2020-10-01セキュリティレベルパッチの詳細

 Androidランタイム、フレームワーク、メディアフレームワーク、システムの4セクションで計20件のアップデートがあった。また、10月もGooglePlayシステムを通したアップデート2件が含まれている。

●Androidランタイムの詳細

 1件で深刻度は高。内容は、ローカルの攻撃者がライブラリを使用するアプリケーションで、任意のコードを実行してしまう可能性があるというもの(CVE-2020-0408)。対応のOSバージョンは8.0から11となっている。

●フレームワークの詳細

 5件で深刻度はすべて高。このうちもっとも深刻度の高い脆弱性は、ローカルの悪意あるアプリケーションがユーザーの操作要件をバイパスして、追加のアクセス権を得てしまうというもの(CVE-2020-0420、CVE-2020-0421)。このうちCVE-2020-0420についてはAndroid 11のみの対応となっている。

●メディアフレームワークの詳細

 4件でうち3件が深刻度高、Android 9のみ対応の残り1件が中程度となっている。このうち深刻度のもっとも高い脆弱性は、追加の実行権限を必要とせずにリモートから情報開示されてしまう可能性があるというもの。対応のAndroidバージョンは深刻度高のものが10と11、中程度のものが9となっている。

●システムの詳細

 10件で深刻度はすべて高。このうちもっとも深刻度の高い脆弱性は、リモートの攻撃者が特別に細工されたトランスミッションを使用して、追加のアクセス権を得てしまう可能性があるというもの(CVE-2020-0215など)。対応するAndroidバージョンは8.0から11までの各種となっている。

●GooglePlayシステムのアップデート

 メディアフレームワークで修正された脆弱性のうち、メディアコーデック(CVE-2020-0213)とメディアフレームワークコンポーネント(CVE-2020-0411)の2件の問題については、プロジェクトメインラインコンポーネント中に含まれているため、10月もGooglePlayシステムのアップデートがおこなわれている。

■2020-10-05セキュリティレベルパッチの詳細

 カーネル、MediaTekコンポーネント、Qualcommコンポーネント、Qualcommクローズドソースコンポーネントの計4セクションで28件のアップデートがあった。このうちもっとも深刻度の高いものは、Qualcommクローズドソースコンポーネントに含まれる6件となっている。

●カーネルの詳細

 1件で深刻度は高。このセクションではローカルの攻撃者が特別に細工されたファイルを使用して、特権プロセスのコンテキスト内で任意のコードを実行してしまう可能性があるというもの(CVE-2020-0423)。

●MediaTekコンポーネントの詳細

 5件で深刻度はすべて高。このセクションの問題に関しては、MediaTek社のSoCを使用する機種に対応するもので、詳細に関してはMediaTek社から直接情報を入手することができる。

●Qualcommコンポーネントの詳細

 4件で深刻度はすべて高。このセクションの問題に関しては、通例通りQualcomm社のセキュリティインフォメーションまたはセキュリティアラートに詳しく説明されている。

●Qualcommクローズドソースコンポーネントに関する詳細

 18件で深刻度は6件(CVE-2020-3654、CVE-2020-3657、CVE-2020-3673、CVE-2020-3692、CVE-2020-11154、CVE-2020-11155)がクリティカル、その他はすべて高となっている。これらの問題の詳細に関しては、通例通りQualcomm社のセキュリティインフォメーションまたはセキュリティアラートで詳細を確認することができる。

 今回のアップデートに関しては、全体にかかわるAndroidシステムに関してこそ深刻度クリティカルに分類される脆弱性はなかったが、多くの脆弱性が発見され対応がなされている。毎月注意喚起しているが、Androidのシステムアップデートは各機ベンダーやネットワークキャリアを通じて提供されるが、今自分の使っているシステムにどのような脆弱性が存在しているかを認識しておくことは重要で、各種セキュリティ情報などには引き続き注意が必要である。(記事:kurishobo・記事一覧を見る

関連キーワードGoogle脆弱性AndroidQualcommAndroid 11

関連記事

広告

広告

写真で見るニュース

  • ポルシェ・タイカン(画像: ポルシェAGの発表資料より)
  • インドで発表されたコンパクトSUV日産マグナイト(画像:日産自動車の発表資料より)
  • 木星を周回し火山から噴煙を上げる衛星イオのイメージ (c) ALMA (ESO/NAOJ/NRAO), I. de Pater et al.; NRAO/AUI NSF, S. Dagnello; NASA/JPL/Space Science Institute
  • おとめ座付近にある多数の恒星によるシェル状構造 (c) レンセラー工科大学
  • クラウドファンディングで販売されているLanmodo NVS Vast Proの利用イメージ画像。(画像: TS TRADE発表資料より)
  • (画像: UNIの発表資料より)
 

広告

ピックアップ 注目ニュース