Android Automotive OS (AAOS) Update Bulletin には、Android Automotive OS プラットフォームに影響を与えるセキュリティの脆弱性の詳細が含まれています。完全な AAOS アップデートには、このセキュリティ情報に記載されているすべての問題に加えて、 2022 年 12 月の Android セキュリティ情報からのセキュリティ パッチ レベル 2022-12-05 以降が含まれます。
すべてのお客様に、これらのアップデートをデバイスに適用することをお勧めします。
これらの問題の中で最も深刻なものは、プラットフォーム アプリ コンポーネントの高度なセキュリティの脆弱性であり、追加の実行権限を必要とせずに、ローカルでの権限昇格につながる可能性があります。重大度の評価は、プラットフォームとサービスの緩和策が開発目的でオフになっている場合、またはバイパスに成功した場合に、脆弱性を悪用した場合に影響を受けるデバイスに与える可能性のある影響に基づいています。
お知らせ
- 2022 年 12 月の Android Security Bulletin に記載されているセキュリティの脆弱性に加えて、2022 年 12 月の Android Automotive OS Update Bulletin には、以下に説明する AAOS の脆弱性に特化したパッチも含まれています。
2022-12-01 セキュリティ パッチ レベルの脆弱性の詳細
以下のセクションでは、2022-12-01 パッチ レベルに適用される各セキュリティ脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。問題は以下の表で説明されており、CVE ID、関連する参照、脆弱性のタイプ、重大度、更新された AOSP バージョン (該当する場合) が含まれています。利用可能な場合は、AOSP 変更リストのように、問題に対処した公開変更をバグ ID にリンクします。複数の変更が 1 つのバグに関連している場合、追加の参照はバグ ID に続く番号にリンクされています。 Android 10 以降を搭載したデバイスは、セキュリティ アップデートとGoogle Play システム アップデートを受信する場合があります。
プラットフォーム アプリ
このセクションの最も重大な脆弱性は、追加の実行権限を必要とせずに、ローカルでの権限昇格につながる可能性があります。| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2021-0481 | A-172939189 | EoP | 高い | 10、11 |
| CVE-2021-39706 | A-200164168 | EoP | 高い | 10、11 |
| CVE-2021-39707 | A-200688991 | EoP | 高い | 10、11 |
| CVE-2022-20144 | A-250637906 | EoP | 高い | 10、11 |
| CVE-2022-20223 | A-223578534 | EoP | 高い | 10、11 |
| CVE-2022-20348 | A-250910523 | EoP | 高い | 10、11 |
| CVE-2021-39631 | A-193890833 | ID | 高い | 10、11、12、12L、13 |
システム
このセクションの脆弱性により、ユーザーの実行権限が必要なローカルでの権限昇格につながる可能性があります。| CVE | 参考文献 | タイプ | 重大度 | 更新された AOSP バージョン |
|---|---|---|---|---|
| CVE-2021-0954 | A-143559931 | EoP | 高い | 11、12、12L、13 |
よくある質問と回答
このセクションでは、このセキュリティ情報を読んだ後に発生する可能性がある一般的な質問に回答します。
1. これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?
端末のセキュリティ パッチ レベルを確認する方法については、 Google 端末の更新スケジュールの手順をご覧ください。
- 2022-12-01 以降のセキュリティ パッチ レベルは、2022-12-01 セキュリティ パッチ レベルに関連するすべての問題に対処します。
これらの更新を含むデバイス メーカーは、パッチ文字列レベルを次のように設定する必要があります。
- [ro.build.version.security_patch]:[2022-12-01]
Android 10 以降の一部のデバイスでは、Google Play システム アップデートの日付文字列が 2022-12-01 セキュリティ パッチ レベルと一致します。セキュリティ更新プログラムのインストール方法の詳細については、この記事を参照してください。
2. Type列のエントリは何を意味しますか?
脆弱性の詳細テーブルの [タイプ] 列のエントリは、セキュリティの脆弱性の分類を参照します。
| 略語 | 意味 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 特権の昇格 |
| ID | 情報開示 |
| DoS | サービス拒否 |
| なし | 分類不可 |
3.参照列のエントリは何を意味しますか?
脆弱性の詳細テーブルの [参照] 列のエントリには、参照値が属する組織を識別するプレフィックスが含まれている場合があります。
| プレフィックス | 参照 |
|---|---|
| A- | Android バグ ID |
| QC- | クアルコム参照番号 |
| M- | MediaTek 参照番号 |
| N- | NVIDIA 参照番号 |
| B- | Broadcom 参照番号 |
| うー | UNISOC 参照番号 |
4. [参照] 列の Android バグ ID の横にある * は何を意味しますか?
公開されていない号には、対応する参照 ID の横に * が付いています。この問題の更新は通常、 Google Developer サイトから入手できる Pixel デバイス用の最新のバイナリ ドライバに含まれています。
5. セキュリティの脆弱性が、このセキュリティ情報とデバイス/パートナーのセキュリティ情報 (Pixel のセキュリティ情報など) に分かれているのはなぜですか?
このセキュリティ情報に記載されているセキュリティの脆弱性は、Android デバイスで最新のセキュリティ パッチ レベルを宣言するために必要です。デバイス/パートナーのセキュリティ速報に記載されている追加のセキュリティ脆弱性は、セキュリティ パッチ レベルを宣言するために必要ありません。 Android デバイスおよびチップセットのメーカーは、 Google 、 Huawei 、 LGE 、 Motorola 、 Nokia 、 Samsungなどの自社製品に固有のセキュリティ脆弱性の詳細を公開する場合もあります。
バージョン
バージョン
| バージョン | 日にち | ノート |
|---|---|---|
| 1.0 | 2022 年 12 月 5 日 | 会報発行 |