2016 年 6 月 6 日公開 | 2016 年 6 月 8 日更新
Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus デバイスに対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Nexus ファームウェア イメージも Google デベロッパー サイトにリリースされています。 2016 年 6 月 1 日以降のセキュリティ パッチレベルではこれらの問題に対処しています。セキュリティ パッチレベルの確認方法については、Nexus のドキュメントをご覧ください。
パートナーには、この公開情報に記載の問題について 2016 年 5 月 2 日までに通知済みです。該当する場合、下記の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)レポジトリにリリースされています。
最も重大度の高い問題は、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の評価は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。
この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。Android セキュリティ プラットフォームの保護や SafetyNet のようなサービスの保護について詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
ご利用の端末に上記のアップデートを適用することをすべてのユーザーにおすすめします。
Android と Google サービスでのリスク軽減策
ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
- Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新版の Android に更新することをおすすめしています。
- Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しており、有害なおそれのあるアプリについてユーザーに警告しています。「アプリの確認」は、Google モバイル サービスを搭載したデバイスでデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとって特に重要です。Google Play では端末のルート権限を取得するツールは禁止されていますが、「アプリの確認」ではアプリの入手元に関係なく、検出されたルート権限取得アプリをインストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。
- Google ハングアウトやメッセンジャーのアプリでは状況を判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。
謝辞
調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。
- Tencent KeenLab(@keen_lab)の Di Shen(@returnsme): CVE-2016-2468
- Gal Beniamini(@laginimaineb): CVE-2016-2476
- Qihoo 360 Technology Co. Ltd. IceSword Lab の Gengjia Chen(@chengjia4574)、pjf(weibo.com/jfpan):CVE-2016-2492
- Mobile Safe Team、Qihoo 360 Technology Co. Ltd. の Hao Chen、Guang Gong、Wenlin Yang: CVE-2016-2470、CVE-2016-2471、CVE-2016-2472、CVE-2016-2473、CVE-2016-2498
- Iwo Banas: CVE-2016-2496
- Qihoo 360 Technology Co. Ltd. IceSword Lab の Jianqiang Zhao(@jianqiangzhao)、pjf(weibo.com/jfpan): CVE-2016-2490、CVE-2016-2491
- Google の Lee Campbell: CVE-2016-2500
- Google セキュリティ チームの Maciej Szawłowski: CVE-2016-2474
- Google の Marco Nelissen および Max Spector: CVE-2016-2487
- Google Project Zero の Mark Brand: CVE-2016-2494
- C0RE Team の Mingjian Zhou(@Mingjian_Zhou)、Chiachih Wu(@chiachih_wu)、Xuxian Jiang: CVE-2016-2477、CVE-2016-2478、CVE-2016-2479、CVE-2016-2480、CVE-2016-2481、CVE-2016-2482、CVE-2016-2483、CVE-2016-2484、CVE-2016-2485、CVE-2016-2486
- Scott Bauer(@ScottyBauer1): CVE-2016-2066、CVE-2016-2061、CVE-2016-2465、CVE-2016-2469、CVE-2016-2489
- Vasily Vasilev: CVE-2016-2463
- Alibaba Inc. の Weichao Sun(@sunblate): CVE-2016-2495
- Tencent Security Platform Department の Xiling Gong: CVE-2016-2499
- Android セキュリティ チームの Zach Riggle(@ebeip90): CVE-2016-2493
セキュリティの脆弱性の詳細
パッチレベル 2016-06-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠を説明し、CVE、関連する Android のバグ、重大度、更新された Nexus デバイス、更新された AOSP のバージョン(該当する場合)、報告日を表にまとめています。 該当する場合は、バグ ID の欄に、その問題に対処した AOSP での変更へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の AOSP リファレンスへのリンクを示します。
メディアサーバーでのリモートコード実行の脆弱性
メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。メディアサーバーのプロセスは、音声や動画のストリームにアクセスできるほか、サードパーティ製アプリが通常はアクセスできないような権限にアクセスできます。
影響を受ける機能はオペレーティング システムの中核部分として提供されているもので、リモート コンテンツ(特に MMS やブラウザでのメディア再生)によってこうした脆弱性を攻撃できるようにするアプリが複数あります。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2463 | 27855419 | 重大 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 25 日 |
libwebm でのリモートコード実行の脆弱性
libwebm にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。メディアサーバーのプロセスは、音声や動画のストリームにアクセスできるほか、サードパーティ製アプリが通常はアクセスできないような権限にアクセスできます。
影響を受ける機能はオペレーティング システムの中核部分として提供されているもので、リモート コンテンツ(特に MMS やブラウザでのメディア再生)によってこうした脆弱性を攻撃できるようにするアプリが複数あります。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2464 | 23167726 [2] | 重大 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
Qualcomm ビデオドライバでの権限昇格の脆弱性
Qualcomm ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2465 | 27407865* | 重大 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P | 2016 年 2 月 21 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
Qualcomm サウンド ドライバでの権限昇格の脆弱性
Qualcomm サウンド ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2466 | 27947307* | 重大 | Nexus 6 | 2016 年 2 月 27 日 |
| CVE-2016-2467 | 28029010* | 重大 | Nexus 5 | 2014 年 3 月 13 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
Qualcomm GPU ドライバでの権限昇格の脆弱性
Qualcomm GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2468 | 27475454* | 重大 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7 | 2016 年 3 月 2 日 |
| CVE-2016-2062 | 27364029* | 重大 | Nexus 5X、Nexus 6P | 2016 年 3 月 6 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性
Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリにより、カーネル内で任意のコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2474 | 27424603* | 重大 | Nexus 5X | Google 社内 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
Broadcom Wi-Fi ドライバでの権限昇格の脆弱性
Broadcom Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、デバイスの設定や動作を変更するシステム呼び出しの許可のない実行が可能になるおそれがあります。昇格された権限へのローカル アクセスに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2475 | 26425765* | 高 | Nexus 5、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Nexus Player、Pixel C | 2016 年 1 月 6 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
Qualcomm サウンド ドライバでの権限昇格の脆弱性
Qualcomm サウンド ドライバに権限昇格の脆弱性があるため、悪意のあるアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。最初にドライバを呼び出すことのできるサービスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2066 | 26876409* | 高 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P | 2016 年 1 月 29 日 |
| CVE-2016-2469 | 27531992* | 高 | Nexus 5、Nexus 6、Nexus 6P | 2016 年 3 月 4 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
メディアサーバーでの権限昇格の脆弱性
メディアサーバーに権限昇格の脆弱性があるため、昇格したシステムアプリ内で悪意のあるローカルアプリによる任意のコードの実行が可能になるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2476 | 27207275 [2] [3] [4] | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 11 日 |
| CVE-2016-2477 | 27251096 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 2 月 17 日 |
| CVE-2016-2478 | 27475409 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 3 日 |
| CVE-2016-2479 | 27532282 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 6 日 |
| CVE-2016-2480 | 27532721 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 6 日 |
| CVE-2016-2481 | 27532497 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 6 日 |
| CVE-2016-2482 | 27661749 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 14 日 |
| CVE-2016-2483 | 27662502 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 14 日 |
| CVE-2016-2484 | 27793163 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 22 日 |
| CVE-2016-2485 | 27793367 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 22 日 |
| CVE-2016-2486 | 27793371 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 22 日 |
| CVE-2016-2487 | 27833616 [2] [3] | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
Qualcomm カメラドライバでの権限昇格の脆弱性
Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。最初にドライバを呼び出すことのできるサービスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2061 | 27207747* | 高 | Nexus 5X、Nexus 6P | 2016 年 2 月 15 日 |
| CVE-2016-2488 | 27600832* | 高 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013) | Google 社内 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
Qualcomm ビデオドライバでの権限昇格の脆弱性
Qualcomm ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。最初にドライバを呼び出すことのできるサービスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2489 | 27407629* | 高 | Nexus 5、Nexus 5X、Nexus 6、Nexus 6P | 2016 年 2 月 21 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
NVIDIA カメラドライバでの権限昇格の脆弱性
NVIDIA カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で任意のコードを実行できるおそれがあります。最初にドライバを呼び出すサービスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2490 | 27533373* | 高 | Nexus 9 | 2016 年 3 月 6 日 |
| CVE-2016-2491 | 27556408* | 高 | Nexus 9 | 2016 年 3 月 8 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性
Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。最初にドライバを呼び出すことのできるサービスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2470 | 27662174* | 高 | Nexus 7(2013) | 2016 年 3 月 13 日 |
| CVE-2016-2471 | 27773913* | 高 | Nexus 7(2013) | 2016 年 3 月 19 日 |
| CVE-2016-2472 | 27776888* | 高 | Nexus 7(2013) | 2016 年 3 月 20 日 |
| CVE-2016-2473 | 27777501* | 高 | Nexus 7(2013) | 2016 年 3 月 20 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
MediaTek 電源管理ドライバでの権限昇格の脆弱性
MediaTek 電源管理ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードの実行が可能になるおそれがあります。ドライバを呼び出すために最初に端末への攻撃とルート権限への昇格が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2492 | 28085410* | 高 | Android One | 2016 年 4 月 7 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
SD カード エミュレーション レイヤでの権限昇格の脆弱性
SD カード ユーザー空間エミュレーション レイヤに権限昇格の脆弱性があるため、昇格したシステムアプリ内で悪意のあるローカルアプリによる任意のコードの実行が可能になるおそれがあります。サードパーティ アプリによるアクセスが不可能となっている signature 権限や signatureOrSystem 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2494 | 28085658 | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 4 月 7 日 |
Broadcom Wi-Fi ドライバでの権限昇格の脆弱性
Broadcom Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初にドライバを呼び出すサービスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2493 | 26571522* | 高 | Nexus 5、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus Player、Pixel C | Google 社内 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
メディアサーバーでのリモートのサービス拒否攻撃の脆弱性
メディアサーバーにリモートのサービス拒否攻撃の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、デバイスのハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2495 | 28076789 [2] | 高 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 4 月 6 日 |
フレームワーク UI での権限昇格の脆弱性
フレームワーク UI の権限ダイアログ ウィンドウに権限昇格の脆弱性があるため、攻撃者がプライベート ストレージ内のファイルに不正にアクセスできるようになるおそれがあります。「dangerous」権限を不正取得できるおそれがあるため、この問題の重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2496 | 26677796 [2] [3] | 中 | すべての Nexus | 6.0、6.1 | 2015 年 5 月 26 日 |
Qualcomm Wi-Fi ドライバでの情報開示の脆弱性
Qualcomm Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。最初にドライバを呼び出すことのできるサービスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 報告日 |
|---|---|---|---|---|
| CVE-2016-2498 | 27777162* | 中 | Nexus 7(2013) | 2016 年 3 月 20 日 |
* この問題に対するパッチは AOSP にはありません。アップデートは Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに含まれています。
メディアサーバーでの情報開示の脆弱性
メディアサーバーに情報開示の脆弱性があるため、アプリが機密情報にアクセスできるおそれがあります。許可を得ずにデータにアクセスできるようになるため、この問題の重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2499 | 27855172 | 中 | すべての Nexus | 4.4.4、5.0.2、5.1.1、6.0、6.0.1 | 2016 年 3 月 24 日 |
アクティビティ マネージャーでの情報開示の脆弱性
アクティビティ マネージャー コンポーネントに情報開示の脆弱性があるため、アプリが機密情報にアクセスできるようになるおそれがあります。許可を得ずにデータにアクセスできるようになるため、この問題の重大度は「中」と判断されています。
| CVE | Android のバグ | 重大度 | 更新対象の Nexus デバイス | 更新対象の AOSP バージョン | 報告日 |
|---|---|---|---|---|---|
| CVE-2016-2500 | 19285814 | 中 | すべての Nexus | 5.0.2、5.1.1、6.0、6.0.1 | Google 社内 |
一般的な質問と回答
上記の公開情報に対する一般的な質問についての回答は以下のとおりです。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
2016 年 6 月 1 日以降のセキュリティ パッチレベルでは、上記の問題に対処しています(セキュリティ パッチレベルを確認する方法については、Nexus のドキュメントをご覧ください)。このアップデートを組み込んだ端末メーカーは、パッチレベル文字列を [ro.build.version.security_patch]:[2016-06-01] に設定する必要があります。
2. 各問題の影響を受ける Nexus デバイスを判断するにはどうすればよいですか?
セキュリティの脆弱性の詳細に関するセクションで、各表中の「更新された Nexus 端末」列に、その問題の影響を受ける、更新対象の Nexus 端末の種類を記載しています。この列には次のいずれかが表示されています。
- すべての Nexus デバイス: 問題がすべての Nexus デバイスに影響を与える場合、表の「更新対象の Nexus デバイス」列には「すべての Nexus」と記載されています。「すべての Nexus」にはサポート対象のデバイス(Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Android One、Nexus Player、Pixel C)が含まれます。
- 一部の Nexus デバイス: 問題が一部の Nexus デバイスのみに影響する場合、「更新対象の Nexus デバイス」列には影響を受ける Nexus デバイスが記載されています。
- 影響を受ける Nexus デバイスがない: 問題の影響を受ける Nexus デバイスがない場合、表の「更新対象の Nexus デバイス」列には「なし」と記載されています。
改訂
- 2016 年 6 月 6 日: 情報公開
- 2016 年 6 月 7 日:
- 公開情報を改訂し AOSP リンクを追加
- 公開情報から CVE-2016-2496 を削除
- 2016 年 6 月 8 日: 公開情報に CVE-2016-2496 を再び追加