この Android セキュリティ リリースノートには、Android 12L の一環として対処した、Android デバイスに影響を及ぼすセキュリティの脆弱性の詳細を掲載しています。セキュリティ パッチレベル 2022-03-01 以降の Android 12L デバイスは、これらの問題から保護されています(Android 12L の AOSP でのリリース時点におけるデフォルトのセキュリティ パッチレベルは 2022-03-01 です)。デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。
Android パートナーには、公開前にすべての問題が通知されます。 これらの問題に対するソースコードのパッチは、Android 12L のリリースの一環として Android オープンソース プロジェクト(AOSP)リポジトリにリリースされます。
これらのリリースノートに掲載される問題の重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合に考えられる影響に基づいています。プラットフォームやサービスでのリスク軽減策が、開発目的または不正な回避策により無効となっていると仮定しています。
この新たに報告された問題によって実際のユーザー デバイスが不正使用された報告はありません。Android セキュリティ プラットフォームの保護や Google Play プロテクトについて詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
お知らせ
- このドキュメントに掲載されている問題は Android 12L の一環として対処されています。この情報は、参考および透明性のために提供されています。
- Android エコシステムの保護に継続的にご協力いただいているセキュリティ リサーチ コミュニティの皆様に感謝とお礼を申し上げます。
Android と Google サービスでのリスク軽減策
ここでは、Android セキュリティ プラットフォームや Google Play プロテクトのようなサービスによる保護でリスクを軽減する手段について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
- Android プラットフォームの最新バージョンでの機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
- Android セキュリティ チームは、Google Play プロテクトによって脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。Google Play プロテクトは、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。
Android 12L の脆弱性の詳細
以下に、Android 12L の一環として修正されたセキュリティの脆弱性について詳しく説明します。影響を受けるコンポーネントごとに脆弱性を分類し、CVE、関連する参照先、脆弱性のタイプ、重大度などの詳細を記載しています。
フレームワーク
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2021-39749 | A-205996115 | EoP | 高 |
| CVE-2021-39743 | A-201534884 | EoP | 中 |
| CVE-2021-39746 | A-194696395 | EoP | 中 |
| CVE-2021-39750 | A-206474016 | EoP | 中 |
| CVE-2021-39752 | A-202756848 | EoP | 中 |
| CVE-2022-20002 | A-198657657 | EoP | 中 |
| CVE-2022-20203 | A-199745908 | EoP | 中 |
| CVE-2021-39744 | A-192369136 | ID | 中 |
| CVE-2021-39745 | A-206127671 | ID | 中 |
| CVE-2021-39747 | A-208268457 | ID | 中 |
| CVE-2021-39748 | A-203777141 | ID | 中 |
| CVE-2021-39751 | A-172838801 | ID | 中 |
| CVE-2021-39753 | A-200035185 | ID | 中 |
| CVE-2021-39755 | A-204995407 | ID | 中 |
| CVE-2021-39756 | A-184354287 | ID | 中 |
| CVE-2021-39757 | A-176094662 | ID | 中 |
| CVE-2021-39754 | A-207133709 | 不明 | 不明 |
メディア フレームワーク
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2021-39759 | A-180200830 | EoP | 中 |
| CVE-2021-39760 | A-194110526 | ID | 中 |
| CVE-2021-39761 | A-179783181 | ID | 中 |
| CVE-2021-39762 | A-210625816 | ID | 中 |
プラットフォーム
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2021-39741 | A-173567719 | EoP | 中 |
| CVE-2021-39763 | A-199176115 | EoP | 中 |
| CVE-2021-39764 | A-170642995 | EoP | 中 |
| CVE-2021-39767 | A-201308542 | EoP | 中 |
| CVE-2021-39768 | A-202017876 | EoP | 中 |
| CVE-2021-39771 | A-198661951 | EoP | 中 |
| CVE-2021-25393 | A-180518134 | ID | 中 |
| CVE-2021-39739 | A-184525194 | ID | 中 |
| CVE-2021-39740 | A-209965112 | ID | 中 |
| CVE-2021-39742 | A-186405602 | ID | 中 |
| CVE-2021-39765 | A-201535427 | ID | 中 |
| CVE-2021-39766 | A-198296421 | ID | 中 |
| CVE-2021-39769 | A-193663287 | ID | 中 |
| CVE-2021-39770 | A-193033501 | ID | 中 |
システム
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2021-39776 | A-192614125 | EoP | 高 |
| CVE-2021-39787 | A-202506934 | EoP | 高 |
| CVE-2021-39772 | A-181962322 | EoP | 中 |
| CVE-2021-39780 | A-204992293 | EoP | 中 |
| CVE-2021-39781 | A-195311502 | EoP | 中 |
| CVE-2021-39782 | A-202760015 | EoP | 中 |
| CVE-2021-39783 | A-197960597 | EoP | 中 |
| CVE-2021-39784 | A-200163477 | EoP | 中 |
| CVE-2021-39786 | A-192551247 | EoP | 中 |
| CVE-2021-39789 | A-203880906 | EoP | 中 |
| CVE-2021-39790 | A-186405146 | EoP | 中 |
| CVE-2021-39773 | A-191276656 | ID | 中 |
| CVE-2021-39775 | A-206465854 | ID | 中 |
| CVE-2021-39777 | A-194743207 | ID | 中 |
| CVE-2021-39778 | A-196406138 | ID | 中 |
| CVE-2021-39779 | A-190400974 | ID | 中 |
| CVE-2021-39788 | A-191768014 | ID | 中 |
| CVE-2021-39791 | A-194112606 | ID | 中 |
| CVE-2021-39774 | A-205989472 | DoS | 中 |
その他の脆弱性の詳細
以下に、開示目的で提供されるセキュリティ脆弱性の詳細を示します。これらの問題は SPL コンプライアンスには必要ありません。
Android TV
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2021-1000 | A-185190688 | EoP | 中 |
| CVE-2021-1033 | A-185247656 | EoP | 中 |
一般的な質問と回答
上記の公開情報に対する一般的な質問とその回答は以下のとおりです。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
デバイスのセキュリティ パッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。
Android 12L の AOSP でのリリース時点におけるデフォルトのセキュリティ パッチレベルは 2022-03-01 です。セキュリティ パッチレベル 2022-03-01 以降の Android 12L を搭載した Android デバイスでは、これらのセキュリティ リリースノートに掲載されているすべての問題に対処しています。
2. 「タイプ」列の項目はどういう意味ですか?
脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。
| 略語 | 定義 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 権限昇格 |
| ID | 情報開示 |
| DoS | サービス拒否攻撃 |
| なし | 該当する分類なし |
3. 「参照」列の項目はどういう意味ですか?
脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
バージョン
| バージョン | 日付 | メモ |
|---|---|---|
| 1.0 | 2022 年 2 月 22 日 | セキュリティ リリースノートを公開しました |
| 1.1 | 2022 年 5 月 27 日 | 問題の一覧を更新しました |
| 1.2 | 2022 年 9 月 8 日 | 問題の一覧を更新しました |