この Android セキュリティ リリースノートには、Android 15 で対処した、Android デバイスに影響を及ぼすセキュリティの脆弱性の詳細を掲載しています。セキュリティ パッチレベル 2024-09-01 以降の Android 15 デバイスは、これらの問題から保護されています(Android 15 の AOSP でのリリース時点におけるデフォルトのセキュリティ パッチレベルは 2024-09-01 です)。デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新するをご覧ください。
Android パートナーには、公開前にすべての問題が通知されます。これらの問題に対するソースコードのパッチは、Android 15 のリリースの一環として Android オープンソース プロジェクト(AOSP)リポジトリにリリースされます。
このリリースノートに掲載される問題の重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合の影響に基づいています。プラットフォームやサービスでのリスク軽減策が、開発目的または不正な回避策により無効となっていると仮定しています。
この新たに報告された問題によって実際のユーザー デバイスが不正使用された報告はありません。Android セキュリティ プラットフォームの保護や Google Play プロテクトについて詳しくは、Android と Google Play プロテクトでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。
お知らせ
- このドキュメントに掲載されている問題は Android 15 で対処しました。この情報は、参考および透明性のために提供されています。
- Android エコシステムの保護に継続的にご協力いただいているセキュリティ リサーチ コミュニティの皆様に感謝とお礼を申し上げます。
Android と Google サービスでのリスク軽減策
ここでは、Android セキュリティ プラットフォームの保護と Google Play プロテクトのようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。
- Android プラットフォームの最新版ではセキュリティが強化されており、脆弱性が改善されています。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
- Android セキュリティ チームは、Google Play プロテクトによって脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。Google Play プロテクトは、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。
Android 15 の脆弱性の詳細
以下に、Android 15 の一環として修正されたセキュリティの脆弱性について詳しく説明します。影響を受けるコンポーネントごとに脆弱性を分類し、CVE、関連する参照先、脆弱性のタイプ、重大度などの詳細を記載しています。
フレームワーク
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2023-40119 | A-231476072 | EoP | 高 |
| CVE-2024-40678 | A-264844293 | DoS | 高 |
| CVE-2024-43069 | A-259946410 | EoP | 高 |
| CVE-2024-43070 | A-341691431 | DoS | 高 |
| CVE-2024-43071 | A-343169511 | EoP | 高 |
| CVE-2024-43074 | A-329409825 | EoP | 高 |
| CVE-2024-43075 | A-272740688 | EoP | 高 |
| CVE-2024-43076 | A-295395495 | EoP | 高 |
| CVE-2024-43078 | A-290365279 | ID | 高 |
| CVE-2024-43092 | A-328017524 | DoS | 高 |
システム
| CVE | 参照 | タイプ | 重大度 |
|---|---|---|---|
| CVE-2023-52160 | A-287119604 | RCE | 低 |
| CVE-2024-23694 | A-329067188 | EoP | 高 |
| CVE-2024-43068 | A-275551881 | EoP | 高 |
| CVE-2024-43072 | A-292548775 | EoP | 高 |
| CVE-2024-43073 | A-289924486 | EoP | 高 |
| CVE-2024-43079 | A-352309723 | EoP | 高 |
一般的な質問と回答
上記の公開情報に対する一般的な質問とその回答は以下のとおりです。
1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?
デバイスのセキュリティ パッチレベルを確認するには、Android のバージョンを確認して更新するをご覧ください。
Android 15 の AOSP でのリリース時点におけるデフォルトのセキュリティ パッチレベルは 2024-09-01 です。セキュリティ パッチレベル 2024-09-01 以降の Android 15 を搭載した Android デバイスでは、このセキュリティ リリースノートに掲載されているすべての問題に対処しています。
2. 「タイプ」列の項目はどういう意味ですか?
脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。
| 略語 | 定義 |
|---|---|
| RCE | リモートコード実行 |
| EoP | 権限昇格 |
| ID | 情報開示 |
| DoS | サービス拒否攻撃 |
| なし | 該当する分類なし |
3. 「参照」列の項目はどういう意味ですか?
脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属する組織を示す接頭辞が含まれる場合があります。
| 接頭辞 | 参照 |
|---|---|
| A- | Android バグ ID |
バージョン
| バージョン | 日付 | メモ |
|---|---|---|
| 1.0 | 2024 年 9 月 3 日 | 情報公開 |
| 1.1 | 2024 年 10 月 16 日 | 公開情報を更新 |