この Android セキュリティ リリースノートには、Android デバイスに影響があり、Android 13 で修正済みのセキュリティ脆弱性の詳細を掲載しています。セキュリティ パッチレベル 2022-09-01 以降の Android 13 デバイスは、これらの問題から保護されています(Android 13 の AOSP でのリリース時点におけるデフォルトのセキュリティ パッチレベルは 2022-09-01 です)。デバイスのセキュリティ パッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。
Android パートナーには、公開前にすべての問題が通知されます。これらの問題に対するソースコードのパッチは、Android 13 のリリースの一環として Android オープンソース プロジェクト(AOSP)リポジトリにリリースされます。
これらのリリースノートに掲載される問題の重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合に考えられる影響に基づいています。プラットフォームやサービスでのリスク軽減策が、開発目的または不正な回避策により無効となっていると仮定しています。
この新たに報告された問題によって実際のユーザー デバイスが不正使用された報告はありません。Android セキュリティ プラットフォームの保護や Google Play プロテクトについて詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
お知らせ
- このドキュメントに掲載されている問題は Android 13 で修正済みです。この情報は、参考および透明性のために提供されています。
- Android エコシステムの保護に継続的にご協力いただいているセキュリティ リサーチ コミュニティの皆様に感謝とお礼を申し上げます。
Android と Google サービスでのリスク軽減策
ここでは、Android セキュリティ プラットフォームの保護と Google Play プロテクトのようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らすものです。
- Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新版の Android に更新することをおすすめしています。
- Android セキュリティ チームは、Google Play プロテクトを使って脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。Google Play プロテクトは、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。
Android 13 の脆弱性の詳細
以下に、Android 13 で修正済みのセキュリティ脆弱性について詳しく説明します。影響を受けるコンポーネントごとに脆弱性を分類し、CVE、関連する参照先、脆弱性のタイプ、重大度などの詳細を記載しています。
Android ランタイム
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2013-0340 | A-24901276 | DoS | 中 |
フレームワーク
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2022-20266 | A-211757348 | EoP | 高 |
| CVE-2022-20301 | A-200956614 | EoP | 高 |
| CVE-2022-20305 | A-199751623 | EoP | 高 |
| CVE-2022-20270 | A-209005023 | ID | 高 |
| CVE-2022-20294 | A-202160705 | ID | 高 |
| CVE-2022-20295 | A-202160584 | ID | 高 |
| CVE-2022-20296 | A-201794303 | ID | 高 |
| CVE-2022-20298 | A-201416182 | ID | 高 |
| CVE-2022-20299 | A-201415895 | ID | 高 |
| CVE-2022-20300 | A-200956588 | ID | 高 |
| CVE-2022-20303 | A-200573021 | ID | 高 |
| CVE-2022-20304 | A-199751919 | ID | 高 |
| CVE-2022-20260 | A-220865698 | DoS | 高 |
| CVE-2022-20246 | A-230493191 | EoP | 中 |
| CVE-2022-20250 | A-226134095 | EoP | 中 |
| CVE-2022-20255 | A-222687217 | EoP | 中 |
| CVE-2022-20268 | A-210468836 | EoP | 中 |
| CVE-2022-20271 | A-207672635 | EoP | 中 |
| CVE-2022-20278 | A-205130113 | EoP | 中 |
| CVE-2022-20281 | A-204083967 | EoP | 中 |
| CVE-2022-20282 | A-204083104 | EoP | 中 |
| CVE-2022-20312 | A-192244925 | EoP | 中 |
| CVE-2022-20331 | A-181785557 | EoP | 中 |
| CVE-2021-0734 | A-189122911 | ID | 中 |
| CVE-2021-0735 | A-188913056 | ID | 中 |
| CVE-2021-0975 | A-180104273 | ID | 中 |
| CVE-2022-20243 | A-190199986 | ID | 中 |
| CVE-2022-20249 | A-226900861 | ID | 中 |
| CVE-2022-20252 | A-224547584 | ID | 中 |
| CVE-2022-20262 | A-218338453 | ID | 中 |
| CVE-2022-20263 | A-217935264 | ID | 中 |
| CVE-2022-20272 | A-207672568 | ID | 中 |
| CVE-2022-20275 | A-205836975 | ID | 中 |
| CVE-2022-20276 | A-205706731 | ID | 中 |
| CVE-2022-20277 | A-205145497 | ID | 中 |
| CVE-2022-20279 | A-204877302 | ID | 中 |
| CVE-2022-20285 | A-230868108 | ID | 中 |
| CVE-2022-20287 | A-204082784 | ID | 中 |
| CVE-2022-20288 | A-204082360 | ID | 中 |
| CVE-2022-20289 | A-203683960 | ID | 中 |
| CVE-2022-20291 | A-203430648 | ID | 中 |
| CVE-2022-20293 | A-202298672 | ID | 中 |
| CVE-2022-20307 | A-198782887 | ID | 中 |
| CVE-2022-20309 | A-194694094 | ID | 中 |
| CVE-2022-20315 | A-191058227 | ID | 中 |
| CVE-2022-20316 | A-190726121 | ID | 中 |
| CVE-2022-20318 | A-194694069 | ID | 中 |
| CVE-2022-20320 | A-187956596 | ID | 中 |
| CVE-2022-20324 | A-187042120 | ID | 中 |
| CVE-2022-20328 | A-184948501 | ID | 中 |
| CVE-2022-20332 | A-180019130 | ID | 中 |
| CVE-2022-20336 | A-177239688 | ID | 中 |
| CVE-2022-20341 | A-162952629 | ID | 中 |
| CVE-2022-20322 | A-187176993 | ID | 低 |
| CVE-2022-20323 | A-187176203 | ID | 低 |
メディア フレームワーク
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2022-20290 | A-203549963 | EoP | 中 |
| CVE-2022-20325 | A-186473060 | EoP | 中 |
| CVE-2022-20247 | A-229858836 | ID | 中 |
| CVE-2022-20317 | A-190199063 | ID | 中 |
パッケージ
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2022-20319 | A-189574230 | EoP | 中 |
プラットフォーム
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2022-20302 | A-200746457 | EoP | 中 |
| CVE-2022-20321 | A-187176859 | ID | 中 |
プラットフォーム
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2022-20265 | A-212804898 | EoP | 中 |
システム
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2022-20283 | A-233069336 | RCE | 重大 |
| CVE-2022-20362 | A-230756082 | RCE | 重大 |
| CVE-2022-20292 | A-202975040 | EoP | 高 |
| CVE-2022-20297 | A-201561699 | EoP | 高 |
| CVE-2022-20330 | A-181962588 | EoP | 高 |
| CVE-2021-0518 | A-176541017 | ID | 高 |
| CVE-2022-20245 | A-215005011 | ID | 高 |
| CVE-2022-20259 | A-221431393 | ID | 高 |
| CVE-2022-20284 | A-231986341 | ID | 高 |
| CVE-2022-20326 | A-185235527 | ID | 高 |
| CVE-2022-20327 | A-185126813 | ID | 高 |
| CVE-2022-20339 | A-171572148 | ID | 高 |
| CVE-2022-20244 | A-201083240 | EoP | 中 |
| CVE-2022-20248 | A-227619193 | EoP | 中 |
| CVE-2022-20254 | A-223377547 | EoP | 中 |
| CVE-2022-20256 | A-222572821 | EoP | 中 |
| CVE-2022-20257 | A-222289114 | EoP | 中 |
| CVE-2022-20258 | A-221893030 | EoP | 中 |
| CVE-2022-20267 | A-211646835 | EoP | 中 |
| CVE-2022-20269 | A-209062898 | EoP | 中 |
| CVE-2022-20274 | A-206470146 | EoP | 中 |
| CVE-2022-20286 | A-230866011 | EoP | 中 |
| CVE-2022-20306 | A-199680794 | EoP | 中 |
| CVE-2022-20313 | A-192206329 | EoP | 中 |
| CVE-2022-20314 | A-191876118 | EoP | 中 |
| CVE-2022-20329 | A-183410556 | EoP | 中 |
| CVE-2022-20335 | A-178014725 | EoP | 中 |
| CVE-2022-20241 | A-217185011 | ID | 中 |
| CVE-2022-20242 | A-231986212 | ID | 中 |
| CVE-2022-20251 | A-225881167 | ID | 中 |
| CVE-2022-20261 | A-219835125 | ID | 中 |
| CVE-2022-20273 | A-206478022 | ID | 中 |
| CVE-2022-20280 | A-204117261 | ID | 中 |
| CVE-2022-20310 | A-192663798 | ID | 中 |
| CVE-2022-20311 | A-192663553 | ID | 中 |
| CVE-2022-20340 | A-166269532 | ID | 中 |
| CVE-2022-20342 | A-143534321 | ID | 中 |
| CVE-2022-20253 | A-224545125 | DoS | 中 |
| CVE-2022-20308 | A-197874458 | DoS | 中 |
| CVE-2022-20333 | A-179161657 | DoS | 中 |
| CVE-2022-20334 | A-178800552 | DoS | 中 |
一般的な質問と回答
上記の公開情報に対する一般的な質問とその回答は以下のとおりです。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新する方法をご覧ください。
Android 13 の AOSP でのリリース時点におけるデフォルトのセキュリティ パッチレベルは 2022-09-01 です。セキュリティ パッチレベル 2022-09-01 以降の Android 13 を搭載した Android デバイスでは、これらのセキュリティ リリースノートに掲載されているすべての問題に対処しています。
2. 「タイプ」列の項目はどういう意味ですか?
脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。
| 略語 | 定義 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 権限昇格 |
| ID | 情報開示 |
| DoS | サービス拒否 |
| なし | 該当する分類なし |
3. 「参照」列の項目はどういう意味ですか?
脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
バージョン
| バージョン | 日付 | メモ |
|---|---|---|
| 1.0 | 2022 年 7 月 25 日 | セキュリティ リリースノートを公開しました |
| 1.1 | 2022 年 8 月 8 日 | 問題の一覧を更新しました |
| 1.2 | 2022 年 9 月 21 日 | 問題の一覧を更新しました |
| 1.3 | 2022 年 10 月 11 日 | 問題の一覧を更新しました |
| 1.4 | 2022 年 3 月 28 日 | 問題の一覧を更新しました |