Android のセキュリティに関する公開情報 - 2022 年 3 月

2022 年 3 月 7 日公開 | 2022 年 4 月 5 日更新

Android のセキュリティに関する公開情報には、Android デバイスに影響を与えるセキュリティの脆弱性の詳細を掲載しています。セキュリティ パッチレベル 2022-03-05 以降では、以下のすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。

Android パートナーには、情報公開の 1 か月前までにすべての問題が通知されます。 Android オープンソース プロジェクト(AOSP)のリポジトリに、各問題に対するソースコード パッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。

以下の問題のうち最も重大度の高いものは、システム コンポーネントで発見された重大なセキュリティの脆弱性です。追加の実行権限がなくても、リモートで権限を昇格されるおそれがあります。 重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合の影響に基づいています。プラットフォームやサービスでのリスク軽減策が、開発目的または不正な回避策により無効となっていると仮定しています。

Android セキュリティ プラットフォームの保護や Google Play プロテクトについて詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。

Android と Google サービスでのリスク軽減策

ここでは、Android セキュリティ プラットフォームの保護と Google Play プロテクトのようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らすものです。

  • Android 上の多くの問題の悪用は、Android プラットフォームの最新版で機能が強化されるほど困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
  • Android セキュリティ チームは、Google Play プロテクトによって脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。Google Play プロテクトは、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。

セキュリティ パッチレベル 2022-03-01 の脆弱性の詳細

以下に、パッチレベル 2022-03-01 に該当するセキュリティ脆弱性の各項目の詳細を示します。脆弱性は、影響を受けるコンポーネントごとに分類しています。下記の表に、問題の内容について説明し、CVE ID、関連する参照先、脆弱性のタイプ重大度、更新対象の AOSP バージョン(該当する場合)を示します。 問題の対処法として一般公開されている変更内容(AOSP の変更の一覧など)が参照可能な場合は、バグ ID の欄にその情報へのリンクがあります。 複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。 Android 10 以降を搭載したデバイスは、セキュリティ アップデートと Google Play システム アップデートを受信することがあります。

Android ランタイム

Android ランタイムの脆弱性により、システム実行権限がある場合に、ローカルで権限を昇格されるおそれがあります。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2021-39689 A-206090748 EoP 12

フレームワーク

フレームワークの最も重大な脆弱性により、ユーザー実行権限がある場合に、ローカルで権限を昇格されるおそれがあります。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2021-39692 A-209611539 EoP 10、11、12
CVE-2021-39693 A-208662370 EoP 12
CVE-2021-39695 A-209607944 EoP 11
CVE-2021-39697 A-200813547 [2] EoP 11、12
CVE-2021-39690 A-204316511 DoS 12

メディア フレームワーク

メディア フレームワークの脆弱性により、追加の実行権限を必要とすることなく、リモートでの情報開示が行われるおそれがあります。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2021-39667 A-205702093 ID 10、11、12

システム

システムの最も重大な脆弱性により、追加の実行権限を必要とすることなく、リモートで権限を昇格されるおそれがあります。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2021-39708 A-206128341 EoP 重大 12
CVE-2021-0957 A-193149550 EoP 10、11、12
CVE-2021-39701 A-212286849 EoP 11、12
CVE-2021-39702 A-205150380 EoP 12
CVE-2021-39703 A-207057578 EoP 12
CVE-2021-39704 A-209965481 EoP 10、11、12
CVE-2021-39706 A-200164168 [2] EoP 10、11、12
CVE-2021-39707 A-200688991 EoP 10、11、12
CVE-2021-39709 A-208817618 EoP 12

Google Play システム アップデート

プロジェクト Mainline のコンポーネントには次の問題が含まれています。

コンポーネント CVE
メディア コーデック CVE-2021-39667

セキュリティ パッチレベル 2022-03-05 の脆弱性の詳細

以下に、パッチレベル 2022-03-05 に該当するセキュリティ脆弱性の各項目の詳細を示します。脆弱性は、影響を受けるコンポーネントごとに分類しています。下記の表に、問題の内容について説明し、CVE ID、関連する参照先、脆弱性のタイプ重大度、更新対象の AOSP バージョン(該当する場合)を示します。 問題の対処法として一般公開されている変更内容(AOSP の変更の一覧など)が参照可能な場合は、バグ ID の欄にその情報へのリンクがあります。 複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

フレームワーク

フレームワークの脆弱性により、追加の実行権限を必要とすることなく、ローカルで権限を昇格されるおそれがあります。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2021-39694 A-202312327 EoP 12

カーネル コンポーネント

カーネル コンポーネントの最も重大な脆弱性により、追加の実行権限を必要とすることなく、ローカルで権限を昇格されるおそれがあります。

CVE 参照 タイプ 重大度 コンポーネント
CVE-2020-29368 A-174738029
アップストリーム カーネル
EoP カーネルメモリ管理
CVE-2021-39685 A-210292376
アップストリーム カーネル [2] [3]
EoP Linux
CVE-2021-39686 A-200688826
アップストリーム カーネル [2] [3] [4]
EoP Binder
CVE-2021-39698 A-185125206
アップストリーム カーネル [2] [3] [4] [5]
EoP カーネル
CVE-2021-3655 A-197154735
アップストリーム カーネル [2] [3] [4]
ID SCTP

MediaTek コンポーネント

以下の脆弱性は MediaTek コンポーネントに影響を与えます。詳細については MediaTek から直接入手できます。問題の重大度の評価は、MediaTek から直接提供されたものです。

CVE 参照 重大度 コンポーネント
CVE-2022-20047 A-213120685
M-ALPS05917489*
動画デコーダ
CVE-2022-20048
A-213116796
M-ALPS05917502*
動画デコーダ
CVE-2022-20053 A-213120689
M-ALPS06219097*
ims サービス

Qualcomm コンポーネント

Qualcomm コンポーネントに影響する脆弱性は次のとおりです。詳細については、該当する Qualcomm のセキュリティに関する公開情報やセキュリティ アラートをご覧ください。問題の重大度の評価は、Qualcomm から直接提供されたものです。

CVE 参照 重大度 コンポーネント
CVE-2021-35088 A-204905738
QC-CR#3007473
WLAN
CVE-2021-35103
A-209481110
QC-CR#3033509
WLAN
CVE-2021-35105
A-209469958
QC-CR#3034743 [2]
ディスプレイ
CVE-2021-35106
A-209481028
QC-CR#3035196 [2]
WLAN
CVE-2021-35117
A-209481202
QC-CR#3028360
WLAN

Qualcomm クローズドソース コンポーネント

Qualcomm クローズドソース コンポーネントに影響する脆弱性は以下のとおりです。詳細については、該当する Qualcomm のセキュリティに関する公開情報やセキュリティ アラートをご覧ください。問題の重大度の評価は、Qualcomm から直接提供されたものです。

CVE 参照 重大度 コンポーネント
CVE-2021-1942
A-199191104* 重大 クローズドソース コンポーネント
CVE-2021-35110 A-209469768* 重大 クローズドソース コンポーネント
CVE-2021-1950
A-199191539* クローズドソース コンポーネント
CVE-2021-30328 A-199191341* クローズドソース コンポーネント
CVE-2021-30329
A-199191831* クローズドソース コンポーネント
CVE-2021-30332
A-199190643* クローズドソース コンポーネント
CVE-2021-30333 A-199191889* クローズドソース コンポーネント

Google Play システム アップデート

プロジェクト Mainline のコンポーネントには次の問題が含まれています。

コンポーネント CVE
権限コントローラ CVE-2021-39694

一般的な質問と回答

上記の公開情報に対する一般的な質問とその回答は以下のとおりです。

1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?

デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。

  • セキュリティ パッチレベル 2022-03-01 以降では、セキュリティ パッチレベル 2022-03-01 に関連するすべての問題に対処しています。
  • セキュリティ パッチレベル 2022-03-05 以降では、セキュリティ パッチレベル 2022-03-05 以前のすべてのパッチレベルに関連するすべての問題に対処しています。

デバイス メーカーは、こうしたアップデートを組み込む場合、パッチレベル文字列を以下のとおり設定する必要があります。

  • [ro.build.version.security_patch]:[2022-03-01]
  • [ro.build.version.security_patch]:[2022-03-05]

Android 10 以降を搭載した一部のデバイスでは、Google Play システム アップデートに、セキュリティ パッチレベル 2022-03-01 と一致する日付文字列が含まれます。 セキュリティ アップデートのインストール方法について詳しくは、こちらの記事をご覧ください。

2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?

この公開情報では、2 つのセキュリティ パッチレベルを掲載しています。これは、すべての Android デバイスにまたがる同様の脆弱性をひとまとめにして、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーは、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。

  • 2022-03-01 のセキュリティ パッチレベルを使用するデバイスには、そのセキュリティ パッチレベルに関連するすべての問題と、それより前のセキュリティに関する公開情報で報告されたすべての問題の修正を含める必要があります。
  • 2022-03-05 以降のセキュリティ パッチレベルを使用するデバイスには、今回(およびそれより前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。

パートナーは、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。

3. 「タイプ」列の項目はどういう意味ですか?

脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。

略語 定義
RCE リモートコード実行
EoP 権限昇格
ID 情報開示
DoS サービス拒否攻撃
なし 該当する分類なし

4. 「参照」列の項目はどういう意味ですか?

脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号
U- UNISOC の参照番号

5. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?

公開されていない問題には、対応する参照 ID の横に「*」を付けています。この問題のアップデートは、Google デベロッパー サイトから入手できる Google Pixel 用最新バイナリ ドライバに通常含まれています。

6. セキュリティの脆弱性が、この公開情報とデバイスやパートナーのセキュリティに関する公開情報(Pixel のセキュリティに関する公開情報など)に分けられているのはなぜですか?

Android デバイスの最新のセキュリティ パッチレベルを宣言するためには、このセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要となります。それ以外の、デバイスやパートナーのセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処は必須ではありません。また、Android デバイスやチップセットのメーカー(GoogleHuaweiLGEMotorolaNokiaSamsung など)からも、各社製品に固有のセキュリティの脆弱性に関する詳細情報が公開される場合があります。

バージョン

バージョン 日付 メモ
1.0 2022 年 3 月 7 日 情報公開
1.1 2022 年 3 月 8 日 公開情報を改訂し AOSP リンクを追加
1.2 2022 年 4 月 5 日 CVE の表を改訂