Android Security Bulletin には、Android デバイスに影響を与えるセキュリティの脆弱性の詳細が含まれています。 2022 年 11 月 5 日以降のセキュリティ パッチ レベルでは、これらすべての問題に対処しています。デバイスのセキュリティ パッチ レベルを確認する方法については、 「Android のバージョンを確認して更新する」をご覧ください。
Android パートナーには、発行の少なくとも 1 か月前にすべての問題が通知されます。これらの問題に対するソース コード パッチは、Android オープン ソース プロジェクト (AOSP) リポジトリにリリースされ、このセキュリティ情報からリンクされています。このセキュリティ情報には、AOSP 以外のパッチへのリンクも含まれています。
これらの問題の中で最も深刻なものは、Framework コンポーネントの高度なセキュリティの脆弱性であり、追加の実行権限を必要とせずに、ローカルでの権限昇格につながる可能性があります。重大度の評価は、プラットフォームとサービスの緩和策が開発目的でオフになっている場合、またはバイパスに成功した場合に、脆弱性を悪用した場合に影響を受けるデバイスに与える可能性のある影響に基づいています。
Android プラットフォームのセキュリティを向上させるAndroid セキュリティ プラットフォーム保護と Google Play プロテクトの詳細については、 Android と Google Play プロテクトの軽減策のセクションを参照してください。
Android および Google サービスの緩和策
これは、 Android セキュリティ プラットフォームおよびGoogle Play プロテクトなどのサービス保護によって提供される軽減策の概要です。これらの機能により、Android でセキュリティの脆弱性が悪用される可能性が低くなります。
- Android プラットフォームの新しいバージョンの機能強化により、Android の多くの問題の悪用がより困難になっています。可能であれば、すべてのユーザーに最新バージョンの Android に更新することをお勧めします。
- Android セキュリティ チームは、 Google Play プロテクトを通じて悪用を積極的に監視し、有害な可能性のあるアプリケーションについてユーザーに警告します。 Google Play プロテクトは、 Google モバイル サービスを搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとって特に重要です。
2022-11-01 セキュリティ パッチ レベルの脆弱性の詳細
以下のセクションでは、2022-11-01 パッチ レベルに適用される各セキュリティ脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。問題は以下の表で説明されており、CVE ID、関連する参照、脆弱性のタイプ、重大度、更新された AOSP バージョン (該当する場合) が含まれています。利用可能な場合は、AOSP 変更リストのように、問題に対処した公開変更をバグ ID にリンクします。複数の変更が 1 つのバグに関連している場合、追加の参照はバグ ID に続く番号にリンクされています。 Android 10 以降を搭載したデバイスは、セキュリティ アップデートとGoogle Play システム アップデートを受信する場合があります。
フレームワーク
このセクションの最も重大な脆弱性は、追加の実行権限を必要とせずに、ローカルでの権限昇格につながる可能性があります。
| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2022-2209 | A-235601882 | EoP | 高い | 10、11、12、12L、13 |
| CVE-2022-20441 | A-238605611 | EoP | 高い | 10、11、12、12L、13 |
| CVE-2022-20446 | A-229793943 | EoP | 高い | 10、11 |
| CVE-2022-20448 | A-237540408 | EoP | 高い | 10、11、12、12L、13 |
| CVE-2022-20450 | A-210065877 | EoP | 高い | 10、11、12、12L、13 |
| CVE-2022-20452 | A-240138318 | EoP | 高い | 13 |
| CVE-2022-20457 | A-243924784 | EoP | 高い | 13 |
複数のコンポーネント
このセクションの脆弱性は、追加の実行権限を必要とせずに、ローカル サービス拒否につながる可能性があります。
| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2022-20426 | A-236263294 [ 2 ] | DoS | 高い | 10、11、12、12L、13 |
システム
このセクションの最も重大な脆弱性は、追加の実行権限を必要とせずに、ローカルでの権限昇格につながる可能性があります。
| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2022-20451 | A-235098883 | EoP | 高い | 10、11、12、12L、13 |
| CVE-2022-20454 | A-242096164 | EoP | 高い | 10、11、12、12L、13 |
| CVE-2022-20462 | A-230356196 | EoP | 高い | 10、11、12、12L、13 |
| CVE-2022-20465 | A-218500036 | EoP | 高い | 10、11、12、12L、13 |
| CVE-2022-20445 | A-225876506 | ID | 高い | 10、11、12、12L、13 |
| CVE-2022-20447 | A-233604485 | ID | 高い | 13 |
| CVE-2022-20414 | A-234441463 [ 2 ] | DoS | 高い | 10、11、12、12L、13 |
| CVE-2022-20453 | A-240685104 | DoS | 高い | 10、11、12、12L、13 |
Google Play システム アップデート
Project Mainline コンポーネントには、次の問題が含まれています。
| サブコンポーネント | CVE |
|---|---|
| メディア フレームワーク コンポーネント | CVE-2022-2209 |
| Wi-Fi | CVE-2022-20463 |
2022-11-05 セキュリティ パッチ レベルの脆弱性の詳細
以下のセクションでは、2022-11-05 パッチ レベルに適用される各セキュリティ脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。問題は以下の表で説明されており、CVE ID、関連する参照、脆弱性のタイプ、重大度、更新された AOSP バージョン (該当する場合) が含まれています。利用可能な場合は、AOSP 変更リストのように、問題に対処した公開変更をバグ ID にリンクします。複数の変更が 1 つのバグに関連している場合、追加の参照はバグ ID に続く番号にリンクされています。
イマジネーション・テクノロジーズ
これらの脆弱性は、Imagination Technologies のコンポーネントに影響を与えます。詳細については、Imagination Technologies から直接入手できます。これらの問題の重大度評価は、Imagination Technologies によって直接提供されます。
| CVE | 参考文献 | 重大度 | サブコンポーネント |
|---|---|---|---|
| CVE-2021-1050 | A-243825200 * | 高い | PowerVR-GPU |
| CVE-2021-39661 | A-246824784 * | 高い | PowerVR-GPU |
MediaTek コンポーネント
これらの脆弱性は MediaTek コンポーネントに影響を与えます。詳細については、MediaTek から直接入手できます。これらの問題の重大度評価は、MediaTek から直接提供されます。
| CVE | 参考文献 | 重大度 | サブコンポーネント |
|---|---|---|---|
| CVE-2022-32601 | A-234038598 M-ALPS07319132 * | 高い | 電話 |
| CVE-2022-32602 | A-245050053 M-ALPS07388790 * | 高い | キーインストール |
Unisoc コンポーネント
これらの脆弱性は、Unisoc コンポーネントに影響を与えます。詳細については、Unisoc から直接入手できます。これらの問題の重大度評価は、Unisoc によって直接提供されます。
| CVE | 参考文献 | 重大度 | サブコンポーネント |
|---|---|---|---|
| CVE-2022-2984 | A-244673210 U-1901978 * | 高い | カーネル |
| CVE-2022-2985 | A-244657985 U-1882490 * | 高い | アンドロイド |
| CVE-2022-38669 | A-244666286 U-1883755 * | 高い | アンドロイド |
| CVE-2022-38670 | A-244674480 U-1883755 * | 高い | アンドロイド |
| CVE-2022-39105 | A-245210875 U-1830881 * | 高い | カーネル |
| CVE-2022-38672 | A-244684957 U-1957128 * | 高い | カーネル |
| CVE-2022-38673 | A-246482122 U-1957128 * | 高い | カーネル |
| CVE-2022-38676 | A-244683429 U-1908118 * | 高い | カーネル |
| CVE-2022-38690 | A-244109033 U-1914157 * | 高い | カーネル |
クアルコムのコンポーネント
これらの脆弱性は Qualcomm コンポーネントに影響を与え、適切な Qualcomm セキュリティ速報またはセキュリティ アラートで詳しく説明されています。これらの問題の重大度評価は、Qualcomm から直接提供されます。
| CVE | 参考文献 | 重大度 | サブコンポーネント |
|---|---|---|---|
| CVE-2022-25724 | A-238106223 QC-CR#3090325 [ 2 ] [ 3 ] | 高い | 画面 |
| CVE-2022-25741 | A-240972788 QC-CR#3147273 | 高い | 無線LAN |
| CVE-2022-25743 | A-240973083 QC-CR#3153406 | 高い | 画面 |
クアルコムのクローズドソース コンポーネント
これらの脆弱性は Qualcomm のクローズド ソース コンポーネントに影響を与え、適切な Qualcomm セキュリティ速報またはセキュリティ アラートで詳細に説明されています。これらの問題の重大度評価は、Qualcomm から直接提供されます。
| CVE | 参考文献 | 重大度 | サブコンポーネント |
|---|---|---|---|
| CVE-2021-35122 | A-213239915 * | 致命的 | クローズドソース コンポーネント |
| CVE-2021-35108 | A-209469945 * | 高い | クローズドソース コンポーネント |
| CVE-2021-35109 | A-209469824 * | 高い | クローズドソース コンポーネント |
| CVE-2021-35132 | A-213240063 * | 高い | クローズドソース コンポーネント |
| CVE-2021-35135 | A-213239949 * | 高い | クローズドソース コンポーネント |
| CVE-2022-25671 | A-231156429 * | 高い | クローズドソース コンポーネント |
| CVE-2022-33234 | A-240971780 * | 高い | クローズドソース コンポーネント |
| CVE-2022-33236 | A-240973180 * | 高い | クローズドソース コンポーネント |
| CVE-2022-33237 | A-240972236 * | 高い | クローズドソース コンポーネント |
| CVE-2022-33239 | A-240982982 * | 高い | クローズドソース コンポーネント |
よくある質問と回答
このセクションでは、このセキュリティ情報を読んだ後に発生する可能性がある一般的な質問に回答します。
1. これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?
デバイスのセキュリティ パッチ レベルを確認する方法については、 「Android のバージョンを確認して更新する」をご覧ください。
- 2022-11-01 以降のセキュリティ パッチ レベルは、2022-11-01 セキュリティ パッチ レベルに関連するすべての問題に対処します。
- 2022-11-05 以降のセキュリティ パッチ レベルは、2022-11-05 セキュリティ パッチ レベルおよびそれ以前のすべてのパッチ レベルに関連するすべての問題に対処します。
これらの更新を含むデバイス メーカーは、パッチ文字列レベルを次のように設定する必要があります。
- [ro.build.version.security_patch]:[2022-11-01]
- [ro.build.version.security_patch]:[2022-11-05]
Android 10 以降の一部のデバイスでは、Google Play システム アップデートの日付文字列が 2022-11-01 セキュリティ パッチ レベルと一致します。セキュリティ更新プログラムのインストール方法の詳細については、この記事を参照してください。
2. このセキュリティ情報に 2 つのセキュリティ パッチ レベルがあるのはなぜですか?
このセキュリティ情報には 2 つのセキュリティ パッチ レベルが含まれているため、Android パートナーは、すべての Android デバイスで類似している脆弱性のサブセットをより迅速に修正できます。 Android パートナーは、このセキュリティ情報に記載されているすべての問題を修正し、最新のセキュリティ パッチ レベルを使用することをお勧めします。
- 2022-11-01 セキュリティ パッチ レベルを使用するデバイスには、そのセキュリティ パッチ レベルに関連するすべての問題と、以前のセキュリティ速報で報告されたすべての問題の修正が含まれている必要があります。
- 2022-11-05 以降のセキュリティ パッチ レベルを使用するデバイスには、この (および以前の) セキュリティ速報に適用可能なすべてのパッチを含める必要があります。
パートナーは、対処しているすべての問題の修正を 1 回の更新にバンドルすることをお勧めします。
3. Type列のエントリは何を意味しますか?
脆弱性の詳細テーブルの [タイプ] 列のエントリは、セキュリティの脆弱性の分類を参照します。
| 略語 | 意味 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 特権の昇格 |
| ID | 情報開示 |
| DoS | サービス拒否 |
| なし | 分類不可 |
4.参照列のエントリは何を意味しますか?
脆弱性の詳細テーブルの [参照] 列のエントリには、参照値が属する組織を識別するプレフィックスが含まれている場合があります。
| プレフィックス | 参照 |
|---|---|
| A- | Android バグ ID |
| QC- | クアルコム参照番号 |
| M- | MediaTek 参照番号 |
| N- | NVIDIA 参照番号 |
| B- | Broadcom 参照番号 |
| うー | UNISOC 参照番号 |
5. [参照] 列の Android バグ ID の横にある * は何を意味しますか?
公開されていない号には、対応する参照 ID の横に * が付いています。この問題の更新は通常、 Google Developer サイトから入手できる Pixel デバイス用の最新のバイナリ ドライバに含まれています。
6. セキュリティの脆弱性が、このセキュリティ情報とデバイス/パートナーのセキュリティ情報 (Pixel のセキュリティ情報など) に分かれているのはなぜですか?
このセキュリティ情報に記載されているセキュリティの脆弱性は、Android デバイスで最新のセキュリティ パッチ レベルを宣言するために必要です。デバイス/パートナーのセキュリティ速報に記載されている追加のセキュリティ脆弱性は、セキュリティ パッチ レベルを宣言するために必要ありません。 Android デバイスおよびチップセットのメーカーは、 Google 、 Huawei 、 LGE 、 Motorola 、 Nokia 、 Samsungなどの自社製品に固有のセキュリティ脆弱性の詳細を公開する場合もあります。
バージョン
| バージョン | 日にち | ノート |
|---|---|---|
| 1.0 | 2022 年 11 月 7 日 | 会報発行 |
| 1.1 | 2022 年 11 月 9 日 | AOSP リンクを含むように更新された速報 |
| 2.0 | 2022 年 12 月 7 日 | 改訂された CVE テーブル |