2025 年 3 月 27 日より、AOSP のビルドとコントリビューションには aosp-main ではなく android-latest-release を使用することをおすすめします。詳細については、AOSP の変更をご覧ください。

Android 12L セキュリティリリースノート

2022 年 2 月 22 日公開 | 2022 年 9 月 8 日更新

この Android セキュリティリリースノートには、Android デバイスに影響があり、Android 12L で修正済みのセキュリティ脆弱性の詳細を掲載しています。セキュリティパッチレベル 2022-03-01 以降の Android 12L デバイスは、これらの問題から保護されています（Android 12L の AOSP でのリリース時点におけるデフォルトのセキュリティパッチレベルは 2022-03-01 です）。デバイスのセキュリティパッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。

Android パートナーには、公開前にすべての問題が通知されます。これらの問題に対するソースコードのパッチは、Android 12L のリリースの一環として Android オープンソースプロジェクト（AOSP）リポジトリにリリースされています。

このリリースノートに掲載される問題の重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合の影響に基づいています。プラットフォームやサービスでのリスク軽減策が、開発目的または不正な回避策により無効となっていると仮定しています。

この新たに報告された問題によって実際のユーザーデバイスが不正使用された報告はありません。Android セキュリティプラットフォームの保護や Google Play プロテクトについて詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。

お知らせ

このドキュメントに掲載されている問題は Android 12L の一環として対処されています。この情報は、参考および透明性のために提供されています。
Android エコシステムの保護に継続的にご協力いただいているセキュリティリサーチコミュニティの皆様に感謝とお礼を申し上げます。

Android と Google サービスでのリスク軽減策

ここでは、Android セキュリティプラットフォームの保護と Google Play プロテクトのようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

Android プラットフォームの最新バージョンでの機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
Android セキュリティチームは、Google Play プロテクトによって脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。Google Play プロテクトは、Google モバイルサービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。

Android 12L の脆弱性の詳細

以下に、Android 12L の一環として修正されたセキュリティの脆弱性について詳しく説明します。影響を受けるコンポーネントごとに脆弱性を分類し、CVE、関連する参照先、脆弱性のタイプ、重大度などの詳細を記載しています。

フレームワーク

CVE	参照	タイプ	重大度
CVE-2021-39749	A-205996115	EoP	高
CVE-2021-39743	A-201534884	EoP	中
CVE-2021-39746	A-194696395	EoP	中
CVE-2021-39750	A-206474016	EoP	中
CVE-2021-39752	A-202756848	EoP	中
CVE-2022-20002	A-198657657	EoP	中
CVE-2022-20203	A-199745908	EoP	中
CVE-2021-39744	A-192369136	ID	中
CVE-2021-39745	A-206127671	ID	中
CVE-2021-39747	A-208268457	ID	中
CVE-2021-39748	A-203777141	ID	中
CVE-2021-39751	A-172838801	ID	中
CVE-2021-39753	A-200035185	ID	中
CVE-2021-39755	A-204995407	ID	中
CVE-2021-39756	A-184354287	ID	中
CVE-2021-39757	A-176094662	ID	中
CVE-2021-39754	A-207133709	不明	不明

メディアフレームワーク

CVE	参照	タイプ	重大度
CVE-2021-39759	A-180200830	EoP	中
CVE-2021-39760	A-194110526	ID	中
CVE-2021-39761	A-179783181	ID	中
CVE-2021-39762	A-210625816	ID	中

プラットフォーム

CVE	参照	タイプ	重大度
CVE-2021-39741	A-173567719	EoP	中
CVE-2021-39763	A-199176115	EoP	中
CVE-2021-39764	A-170642995	EoP	中
CVE-2021-39767	A-201308542	EoP	中
CVE-2021-39768	A-202017876	EoP	中
CVE-2021-39771	A-198661951	EoP	中
CVE-2021-25393	A-180518134	ID	中
CVE-2021-39739	A-184525194	ID	中
CVE-2021-39740	A-209965112	ID	中
CVE-2021-39742	A-186405602	ID	中
CVE-2021-39765	A-201535427	ID	中
CVE-2021-39766	A-198296421	ID	中
CVE-2021-39769	A-193663287	ID	中
CVE-2021-39770	A-193033501	ID	中

システム

CVE	参照	タイプ	重大度
CVE-2021-39776	A-192614125	EoP	高
CVE-2021-39787	A-202506934	EoP	高
CVE-2021-39772	A-181962322	EoP	中
CVE-2021-39780	A-204992293	EoP	中
CVE-2021-39781	A-195311502	EoP	中
CVE-2021-39782	A-202760015	EoP	中
CVE-2021-39783	A-197960597	EoP	中
CVE-2021-39784	A-200163477	EoP	中
CVE-2021-39786	A-192551247	EoP	中
CVE-2021-39789	A-203880906	EoP	中
CVE-2021-39790	A-186405146	EoP	中
CVE-2021-39773	A-191276656	ID	中
CVE-2021-39775	A-206465854	ID	中
CVE-2021-39777	A-194743207	ID	中
CVE-2021-39778	A-196406138	ID	中
CVE-2021-39779	A-190400974	ID	中
CVE-2021-39788	A-191768014	ID	中
CVE-2021-39791	A-194112606	ID	中
CVE-2021-39774	A-205989472	DoS	中

その他の脆弱性の詳細

以下のセクションでは、開示目的で提供されるセキュリティ脆弱性の詳細を示します。これらの問題は SPL コンプライアンスには必要ありません。

Android TV

CVE	参照	タイプ	重大度
CVE-2021-1000	A-185190688	EoP	中
CVE-2021-1033	A-185247656	EoP	中

一般的な質問と回答

上記の公開情報に対する一般的な質問とその回答は以下のとおりです。

1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか？

デバイスのセキュリティパッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。

Android 12L の AOSP でのリリース時点におけるデフォルトのセキュリティパッチレベルは 2022-03-01 です。セキュリティパッチレベル 2022-03-01 以降の Android 12L を搭載した Android デバイスでは、これらのセキュリティリリースノートに掲載されているすべての問題に対処しています。

2. 「タイプ」列の項目はどういう意味ですか？

脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。

略語	定義
RCE	リモートコード実行
EoP	権限昇格
ID	情報開示
DoS	サービス拒否攻撃
なし	該当する分類なし

3. 「参照」列の項目はどういう意味ですか？

脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。

接頭辞	参照
A-	Android バグ ID

バージョン

バージョン	日付	メモ
1.0	2022 年 2 月 22 日	セキュリティリリースノートを公開しました
1.1	2022 年 5 月 27 日	問題の一覧を更新しました
1.2	2022 年 9 月 8 日	問題の一覧を更新しました

Android 12L セキュリティ リリースノート コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。