Android のセキュリティに関する公開情報 - 2016 年 11 月

2016 年 11 月 7 日公開 | 2016 年 12 月 21 日更新

Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Google 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも Google デベロッパー サイトでリリースしています。2016 年 11 月 6 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、Pixel と Nexus のアップデート スケジュールを参照してください。

パートナーには、この公開情報に記載の問題について 2016 年 10 月 20 日までに通知済みです。Android オープンソース プロジェクト(AOSP)レポジトリに(該当する場合)、下記の問題に対するソースコードのパッチをリリースしています。この公開情報には AOSP 以外のパッチへのリンクも掲載しています。

下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の評価は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。

この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。Android セキュリティ プラットフォームの保護SafetyNet のようなサービスの保護について詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。

ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。

お知らせ

  • Pixel および Pixel XL 端末の導入に伴い、Google によってサポートされているすべての端末とは、「Nexus 端末」ではなく「Google 端末」を意味する用語になります。
  • この公開情報では、3 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、一般的な質問と回答をご覧ください。
    • 2016-11-01: 部分的に対処したセキュリティ パッチ レベル。このセキュリティ パッチ レベルは、2016-11-01(およびそれ以前のすべてのセキュリティ パッチ レベル)に関連するすべての問題に対処していることを示します。
    • 2016-11-05: 完全に対処したセキュリティ パッチ レベル。このセキュリティ パッチ レベルは、2016-11-01 と 2016-11-05(およびそれ以前のすべてのセキュリティ パッチ レベル)に関連するすべての問題に対処していることを示します。
    • 補助的なセキュリティ パッチ レベル

      補助的なセキュリティ パッチ レベルは、パッチ レベルが定義された後に明らかになった問題の修正を含む端末を特定するために用意されています。こうした最近明らかになった脆弱性に対する対処は、2016-12-01 のセキュリティ パッチ レベルまで不要です。

      • 2016-11-06: このセキュリティ パッチ レベルは、端末が 2016-11-05 と CVE-2016-5195(2016 年 10 月 19 日に開示)に関連するすべての問題に対処していることを示します。
  • サポート対象の Google 端末には、2016 年 11 月 5 日のセキュリティ パッチ レベルのアップデート 1 件が OTA で配信されます。

Android と Google サービスでのリスク軽減策

ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

  • Android プラットフォームの最新版での機能強化により、Android にある多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
  • Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しており、有害なおそれのあるアプリについてユーザーに警告しています。「アプリの確認」は、Google モバイル サービスを搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。端末のルート権限を取得するツールは Google Play では禁止されていますが、「アプリの確認」では、アプリの入手元に関係なく、検出されたルート権限取得アプリをインストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリが既にインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。
  • Google ハングアウトやメッセンジャーのアプリでは状況を判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。

謝辞

調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。

  • Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2016-6722
  • Google の Andrei Kapishnikov、Miriam Gershenson: CVE-2016-6703
  • Silence Information Technology、PKAV の Ao Wang(@ArayzSegment)と Zinuo Han: CVE-2016-6700、CVE-2016-6702
  • Tencent、Security Platform Department の Askyshang: CVE-2016-6713
  • Android Security の Billy Lau: CVE-2016-6737
  • ピレウス大学の Constantinos PatsakisEfthimios Alepis: CVE-2016-6715
  • Alibaba モバイル セキュリティ チームの dragonltx: CVE-2016-6714
  • Project Zero の Gal Beniamini: CVE-2016-6707、CVE-2016-6717
  • Qihoo 360 Technology Co. Ltd.、IceSword Lab の Gengjia Chen(@chengjia4574)と pjf: CVE-2016-6725、CVE-2016-6738、CVE-2016-6740、CVE-2016-6741、CVE-2016-6742、CVE-2016-6744、CVE-2016-6745、CVE-2016-3906
  • Qihoo 360 Technology Co. Ltd.、Alpha Team の Guang Gong(龚广)(@oldfresher): CVE-2016-6754
  • Qihoo 360 Technology Co. Ltd.、IceSword Lab の Jianqiang Zhao(@jianqiangzhao)と pjf: CVE-2016-6739、CVE-2016-3904、CVE-2016-3907、CVE-2016-6698
  • Tencent、Keen Lab(@keen_lab)の Marco Grassi(@marcograss): CVE-2016-6828
  • Project Zero の Mark Brand: CVE-2016-6706
  • Google の Mark Renouf: CVE-2016-6724
  • Michał Bednarski(github.com/michalbednarski): CVE-2016-6710
  • Android Security の Min Chong: CVE-2016-6743
  • Trend Micro の Peter Pi(@heisecode): CVE-2016-6721
  • Tencent、Keen Lab の Qidan He(何淇丹)(@flanker_hqd)と Gengming Liu(刘耕铭)(@dmxcsnsbh): CVE-2016-6705
  • Google の Robin Lee: CVE-2016-6708
  • Scott Bauer@ScottyBauer1): CVE-2016-6751
  • Kaspersky Lab の Sergey Bobrov(@Black2Fan) : CVE-2016-6716
  • Trend Micro Mobile Threat Research Team の Seven Shen (@lingtongshen) : CVE-2016-6748、CVE-2016-6749、 CVE-2016-6750、CVE-2016-6753
  • Vrije Universiteit Amsterdam の Victor van der Veen、Herbert Bos、Kaveh Razavi、Cristiano Giuffrida、およびカリフォルニア大学サンタバーバラ校の Yanick Fratantonio、Martina Lindorfer、 Giovanni Vigna: CVE-2016-6728
  • Alibaba Inc. の Weichao Sun(@sunblate): CVE-2016-6712、CVE-2016-6699、CVE-2016-6711
  • C0RE Team の Wenke Dou(vancouverdou@gmail.com)、Chiachih Wu(@chiachih_wu)、Xuxian Jiang: CVE-2016-6720
  • Trend Micro Inc. の Wish Wu(吴潍浠)(@wish_wu): CVE-2016-6704
  • Nightwatch Cybersecurity の Yakov Shafranovich: CVE-2016-6723
  • C0RE TeamYuan-Tsung LoYao JunTong Lin、Chiachih Wu(@chiachih_wu)、Xuxian Jiang: CVE-2016-6730、VE-2016-6732、CVE-2016-6734、CVE-2016-6736
  • C0RE TeamYuan-Tsung LoYao JunXiaodong Wang、Chiachih Wu(@chiachih_wu)、Xuxian Jiang: CVE-2016-6731、CVE-2016-6733、CVE-2016-6735、CVE-2016-6746

Android Security の Zach Riggle 氏にも、本公開情報で取り上げたいくつかの問題についてご協力いただきました。ここに謝意を表します。

セキュリティ パッチ レベル 2016-11-01 の脆弱性の詳細

パッチレベル 2016-11-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

メディアサーバーでのリモートコード実行の脆弱性

メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は重大と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6699 A-31373622 重大 すべて 7.0 2016 年 7 月 27 日

libzipfile での権限昇格の脆弱性

libzipfile に権限昇格の脆弱性があるため、悪意のあるローカルアプリが特権プロセス内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6700 A-30916186 重大 なし* 4.4.4、5.0.2、5.1.1 2016 年 8 月 17 日

* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Skia でのリモートコード実行の脆弱性

libskia にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。ギャラリー プロセス内でリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6701 A-30190637 すべて 7.0 Google 社内

libjpeg でのリモートコード実行の脆弱性

libjpeg にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、権限のないプロセス中に勝手なコードを実行できるおそれがあります。libjpeg を使用するアプリでリモートコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6702 A-30259087 なし* 4.4.4、5.0.2、5.1.1 2016 年 7 月 19 日

* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Android ランタイムでのリモートコード実行の脆弱性

Android ランタイム ライブラリにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、権限のないプロセス中に勝手なコードを実行できるおそれがあります。Android ランタイムを使用するアプリでリモートコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6703 A-30765246 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 Google 社内

* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

メディアサーバーでの権限昇格の脆弱性

メディアサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリが特権プロセス内で勝手なコードを実行できるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスできるようになるので、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6704 A-30229821 [2] [3] すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 7 月 19 日
CVE-2016-6705 A-30907212 [2] すべて 5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 8 月 16 日
CVE-2016-6706 A-31385713 すべて 7.0 2016 年 9 月 8 日

システム サーバーでの権限昇格の脆弱性

システム サーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリが特権プロセス内で勝手なコードを実行できるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスできるようになるので、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6707 A-31350622 すべて 6.0、6.0.1、7.0 2016 年 9 月 7 日

システム UI での権限昇格の脆弱性

システム UI に権限昇格の脆弱性があり、悪意のあるローカル ユーザーがマルチウィンドウ モードで仕事用プロファイルのセキュリティ メッセージを迂回できるおそれがあります。デベロッパーやセキュリティの設定の変更に対するユーザー操作の要件がローカルで回避されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6708 A-30693465 すべて 7.0 Google 社内

Conscrypt での情報開示の脆弱性

Conscrypt に情報開示の脆弱性があるため、アプリで以前の暗号化 API が使用されている場合、攻撃者が機密情報にアクセスできるおそれがあります。許可を得ずにデータにアクセスできるようになるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6709 A-31081987 すべて 6.0、6.0.1、7.0 2015 年 10 月 9 日

ダウンロード マネージャーでの情報開示の脆弱性

ダウンロード マネージャーに情報開示の脆弱性があるため、悪意のあるローカルアプリが、アプリデータを他のアプリから分離するオペレーティング システムの保護を回避できるおそれがあります。アプリがアクセス権限のないデータにアクセスできるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6710 A-30537115 [2] すべて 5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 7 月 30 日

Bluetooth でのサービス拒否の脆弱性

Bluetooth にサービスの拒否の脆弱性があり、近くにいる攻撃者が攻撃対象の端末への Bluetooth アクセスを一時的にブロックできるおそれがあります。リモートからサービスが拒否されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2014-9908 A-28672558 なし* 4.4.4、5.0.2、5.1.1 2014 年 5 月 5 日

* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

OpenJDK でのサービス拒否の脆弱性

OpenJDK にリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートからサービスが拒否されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2015-0410 A-30703445 すべて 7.0 2015 年 1 月 16 日

メディアサーバーでのサービス拒否の脆弱性

メディアサーバーにリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートからサービスが拒否されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6711 A-30593765 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 8 月 1 日
CVE-2016-6712 A-30593752 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 8 月 1 日
CVE-2016-6713 A-30822755 すべて 6.0、6.0.1、7.0 2016 年 8 月 11 日
CVE-2016-6714 A-31092462 すべて 6.0、6.0.1、7.0 2016 年 8 月 22 日

* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

フレームワーク API での権限昇格の脆弱性

フレームワーク API に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、ユーザーの許可なしに音声が録音されるおそれがあります。ユーザー操作の要件がローカルで回避される(ユーザーの操作や許可が通常必要な機能へのアクセスが行われる)ため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6715 A-29833954 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 6 月 28 日

AOSP ランチャーでの権限昇格の脆弱性

AOSP ランチャーに権限昇格の脆弱性があるため、悪意のあるローカルアプリが、昇格された権限を持つショートカットをユーザーの同意なしに作成できるおそれがあります。ユーザー操作の要件がローカルで回避される(ユーザーの操作や許可が通常必要な機能へのアクセスが行われる)ため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6716 A-30778130 すべて 7.0 2016 年 8 月 5 日

メディアサーバーでの権限昇格の脆弱性

メディアサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリが特権プロセス内で勝手なコードを実行できるおそれがあります。最初に別の脆弱性を悪用する必要があるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6717 A-31350239 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 9 月 7 日

アカウント マネージャー サービスでの権限昇格の脆弱性

アカウント マネージャー サービスに権限昇格の脆弱性があるため、悪意のあるローカルアプリが、ユーザーの許可なしに機密情報を取得できるおそれがあります。ユーザー操作の要件がローカルで回避される(ユーザーの操作や許可が通常必要な機能へのアクセスが行われる)ため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6718 A-30455516 すべて 7.0 Google 社内

Bluetooth での権限昇格の脆弱性

Bluetooth コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリが任意の Bluetooth 端末をユーザーの同意なしにペアに設定できるおそれがあります。ユーザー操作の要件がローカルで回避される(ユーザーの操作や許可が通常必要な機能へのアクセスが行われる)ため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6719 A-29043989 [2] すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 Google 社内

メディアサーバーでの情報開示の脆弱性

メディアサーバーに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6720 A-29422020 [2] [3] [4] すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 6 月 15 日
CVE-2016-6721 A-30875060 すべて 6.0、6.0.1、7.0 2016 年 8 月 13 日
CVE-2016-6722 A-31091777 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 8 月 23 日

プロキシの自動設定でのサービス拒否の脆弱性

プロキシ自動設定にサービス拒否の脆弱性があるため、リモートの攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。一般的でない端末設定が必要なため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6723 A-30100884 [2] すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 7 月 11 日

入力マネージャー サービスでのサービス拒否の脆弱性

入力マネージャー サービスにサービス拒否の脆弱性があるため、悪意のあるローカルアプリにより端末が再起動を繰り返すおそれがあります。一時的なサービス拒否であり、出荷時設定にリセットすることで修正できるため、この問題の重大度は「低」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6724 A-30568284 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 Google 社内

セキュリティ パッチ レベル 2016-11-05 の脆弱性の詳細

パッチレベル 2016-11-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

Qualcomm crypto ドライバでのリモートコード実行の脆弱性

Qualcomm crypto ドライバにリモートコード実行の脆弱性があるため、リモートの攻撃者がカーネル内で勝手なコードを実行できるおそれがあります。カーネル内でリモートでコードが実行されるおそれがあるため、この問題は重大と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6725 A-30515053
QC-CR#1050970
重大 Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 25 日

カーネル ファイル システムでの権限昇格の脆弱性

カーネル ファイル システムに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2015-8961 A-30952474
アップストリーム カーネル
重大 Pixel、Pixel XL 2015 年 10 月 18 日
CVE-2016-7911 A-30946378
アップストリーム カーネル
重大 Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 7 月 1 日
CVE-2016-7910 A-30942273
アップストリーム カーネル
重大 Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 7 月 29 日

カーネル SCSI ドライバでの権限昇格の脆弱性

カーネル SCSI ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2015-8962 A-30951599
アップストリーム カーネル
重大 Pixel、Pixel XL 2015 年 10 月 30 日

カーネル メディア ドライバでの権限昇格の脆弱性

カーネル メディア ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-7913 A-30946097
アップストリーム カーネル
重大 Nexus 6P、Android One、Nexus Player、Pixel、Pixel XL 2016 年 1 月 28 日

カーネル USB ドライバでの権限昇格の脆弱性

カーネル USB ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-7912 A-30950866
アップストリーム カーネル
重大 Pixel C、Pixel、Pixel XL 2016 年 4 月 14 日

カーネル ION サブシステムでの権限昇格の脆弱性

カーネル ION サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6728 A-30400942* 重大 Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Android One 2016 年 7 月 25 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

Qualcomm ブートローダーでの権限昇格の脆弱性

Qualcomm ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6729 A-30977990*
QC-CR#977684
重大 Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 25 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

NVIDIA GPU ドライバでの権限昇格の脆弱性

NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6730 A-30904789*
N-CVE-2016-6730
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6731 A-30906023*
N-CVE-2016-6731
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6732 A-30906599*
N-CVE-2016-6732
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6733 A-30906694*
N-CVE-2016-6733
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6734 A-30907120*
N-CVE-2016-6734
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6735 A-30907701*
N-CVE-2016-6735
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6736 A-30953284*
N-CVE-2016-6736
重大 Pixel C 2016 年 8 月 18 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

カーネル ネットワーク サブシステムでの権限昇格の脆弱性

カーネル ネットワーク サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6828 A-31183296
アップストリーム カーネル
重大 Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 8 月 18 日

カーネル サウンド サブシステムでの権限昇格の脆弱性

カーネル サウンド サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-2184 A-30952477
アップストリーム カーネル
重大 Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 3 月 31 日

カーネル ION サブシステムでの権限昇格の脆弱性

カーネル ION サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6737 A-30928456* 重大 Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel C、Nexus Player、Pixel、Pixel XL Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

Qualcomm コンポーネントでの脆弱性

下記の表に、Qualcomm コンポーネントに影響するセキュリティの脆弱性を示します。詳細については、Qualcomm AMSS June 2016 のセキュリティに関する公開情報およびセキュリティ アラート 80-NV606-17 に掲載されています。

CVE 参照 重大度* 更新対象の Google 端末 報告日
CVE-2016-6727 A-31092400** 重大 Android One Qualcomm 社内
CVE-2016-6726 A-30775830** Nexus 6、Android One Qualcomm 社内

* この一連の問題の重大度はベンダーが決定したものです。

** この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

Expat でのリモートコード実行の脆弱性

下記の表に、Expat ライブラリに影響するセキュリティの脆弱性を示します。 この問題のうち最も重大なのは、Expat XML パーサーでの権限昇格の脆弱性です。この脆弱性により、攻撃者が特別に細工したファイルを使用して、権限のないプロセス中に勝手なコードを実行できるおそれがあります。Expat を使用するアプリで勝手なコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-0718 A-28698301 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 5 月 10 日
CVE-2012-6702 A-29149404 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 3 月 6 日
CVE-2016-5300 A-29149404 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 6 月 4 日
CVE-2015-1283 A-27818751 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2015 年 7 月 24 日

* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Webview でのリモートコード実行の脆弱性

Webview にリモートコード実行の脆弱性があるため、ユーザーがウェブサイトに移動するときリモートの攻撃者が勝手なコードを実行できるおそれがあります。特権のないプロセスでリモートコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2016-6754 A-31217937 なし* 5.0.2、5.1.1、6.0、6.0.1 2016 年 8 月 23 日

* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Freetype でのリモートコード実行の脆弱性

Freetype にリモートコード実行の脆弱性があるため、悪意のあるローカルアプリが特別に細工したフォントを読み込んで、権限のないプロセス内でメモリ破損を引き起こすおそれがあります。Freetype を使用するアプリでリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 更新対象の AOSP バージョン 報告日
CVE-2014-9675 A-24296662 [2] なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 Google 社内

* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

カーネル パフォーマンス サブシステムでの権限昇格の脆弱性

カーネル パフォーマンス サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2015-8963 A-30952077
アップストリーム カーネル
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2015 年 12 月 15 日

カーネル システムコール監査サブシステムでの権限昇格の脆弱性

カーネル システムコール監査サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内でシステムコール監査を妨害するおそれがあります。カーネルレベルの多重防御または悪用対策技術を迂回する一般的な方法であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6136 A-30956807
アップストリーム カーネル
Android One、Pixel C、Nexus Player 2016 年 7 月 1 日

Qualcomm crypto エンジン ドライバでの権限昇格の脆弱性

Qualcomm crypto エンジン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6738 A-30034511
QC-CR#1050538
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 7 日

Qualcomm カメラドライバでの権限昇格の脆弱性

Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6739 A-30074605*
QC-CR#1049826
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 7 月 11 日
CVE-2016-6740 A-30143904
QC-CR#1056307
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 12 日
CVE-2016-6741 A-30559423
QC-CR#1060554
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 28 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

Qualcomm バス ドライバでの権限昇格の脆弱性

Qualcomm バス ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-3904 A-30311977
QC-CR#1050455
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 7 月 22 日

Synaptics タッチスクリーン ドライバでの権限昇格の脆弱性

Synaptics タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6742 A-30799828* Nexus 5X、Android One 2016 年 8 月 9 日
CVE-2016-6744 A-30970485* Nexus 5X 2016 年 8 月 19 日
CVE-2016-6745 A-31252388* Nexus 5X、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL 2016 年 9 月 1 日
CVE-2016-6743 A-30937462* Nexus 9、Android One Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

カーネル コンポーネントでの情報開示の脆弱性

カーネル コンポーネント(ヒューマン インターフェース デバイス ドライバ、ファイルシステム、テレタイプ ドライバなど)に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルを超えてデータにアクセスできるおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2015-8964 A-30951112
アップストリーム カーネル
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2015 年 11 月 27 日
CVE-2016-7915 A-30951261
アップストリーム カーネル
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 1 月 19 日
CVE-2016-7914 A-30513364
アップストリーム カーネル
Pixel C、Pixel、Pixel XL 2016 年 4 月 6 日
CVE-2016-7916 A-30951939
アップストリーム カーネル
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 5 月 5 日

NVIDIA GPU ドライバでの情報開示の脆弱性

NVIDIA GPU ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルを超えてデータにアクセスできるおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6746 A-30955105*
N-CVE-2016-6746
Pixel C 2016 年 8 月 18 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

メディアサーバーでのサービス拒否の脆弱性

メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートからサービスが拒否されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6747 A-31244612*
N-CVE-2016-6747
Nexus 9 Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

カーネル コンポーネントでの情報開示の脆弱性

カーネル コンポーネント(プロセスグループ サブシステム、ネットワーク サブシステムなど)に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルを超えてデータにアクセスできるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-7917 A-30947055
アップストリーム カーネル
Pixel C、Pixel、Pixel XL 2016 年 2 月 2 日
CVE-2016-6753 A-30149174* Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 7 月 13 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

Qualcomm コンポーネントでの情報開示の脆弱性

Qualcomm コンポーネント(GPU ドライバ、電源ドライバ、SMSM ポイントツーポイント ドライバなど)に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルを超えてデータにアクセスできるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 端末 報告日
CVE-2016-6748 A-30076504
QC-CR#987018
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 12 日
CVE-2016-6749 A-30228438
QC-CR#1052818
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 7 月 12 日
CVE-2016-6750 A-30312054
QC-CR#1052825
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 21 日
CVE-2016-3906 A-30445973
QC-CR#1054344
Nexus 5X、Nexus 6P 2016 年 7 月 27 日
CVE-2016-3907 A-30593266
QC-CR#1054352
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 8 月 2 日
CVE-2016-6698 A-30741851
QC-CR#1058826
Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 8 月 2 日
CVE-2016-6751 A-30902162*
QC-CR#1062271
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 8 月 15 日
CVE-2016-6752 A-31498159
QC-CR#987051
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる Google 端末用最新バイナリ ドライバに含まれています。

セキュリティ パッチ レベル 2016-11-06 の脆弱性の詳細

上記のセキュリティ パッチ レベル 2016-11-06 の脆弱性の概要で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

カーネル メモリ サブシステムでの権限昇格の脆弱性

カーネル メモリ サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリがカーネル内で勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。

注: 2016-11-06 のセキュリティ パッチ レベルは、この問題、および 2016-11-01 と 2016-11-05 に関連するすべての問題に対処していることを示します。

CVE 参照 重大度 更新対象のカーネル バージョン 報告日
CVE-2016-5195 A-32141528
アップストリーム カーネル [2]
重大 3.10、3.18 2016 年 10 月 12 日

一般的な質問と回答

上記の公開情報に対する一般的な質問について、以下で回答します。

1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか?

端末のセキュリティ パッチ レベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をお読みください。

  • セキュリティ パッチ レベル 2016-11-01 以降では、セキュリティ パッチ レベル 2016-11-01 に関連するすべての問題に対処しています。
  • セキュリティ パッチ レベル 2016-11-05 以降では、セキュリティ パッチ レベル 2016-11-05、およびそれ以前のすべてのパッチ レベルに関連するすべての問題に対処しています。
  • セキュリティ パッチ レベル 2016-11-06 以降では、セキュリティ パッチ レベル 2016-11-06、およびそれ以前のすべてのパッチ レベルに関連するすべての問題に対処しています。

このアップデートを組み込んだ端末メーカーは、パッチレベル文字列を以下に設定する必要があります。

  • [ro.build.version.security_patch]:[2016-11-01]
  • [ro.build.version.security_patch]:[2016-11-05]
  • [ro.build.version.security_patch]:[2016-11-06].

2. この公開情報に 3 つのセキュリティ パッチ レベルがあるのはなぜですか?

この公開情報では、3 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。

  • 2016 年 11 月 1 日のセキュリティ パッチ レベルを使用する端末には、そのセキュリティ パッチ レベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。
  • 2016 年 11 月 5 日以降のセキュリティ パッチ レベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。
  • 2016 年 11 月 6 日以降のセキュリティ パッチ レベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。

パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。

3. 各問題の影響を受ける Google 端末を判断するにはどうすればよいですか?

2016-11-012016-11-052016-11-06 のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google 端末」列に、その問題の影響を受ける、更新対象の Google 端末の種類を記載しています。この列の記載は次のいずれかです。

  • すべての Google 端末: 問題がすべての Nexus 端末と Pixel 端末に影響を与える場合、表の「更新対象の Google 端末」列には「すべて」と記載されています。「すべて」にはサポート対象の端末(Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。
  • 一部の Google 端末: 問題が一部の Google 端末のみに影響する場合、「更新対象の Google 端末」列には影響を受ける Google 端末が記載されています。
  • 影響を受ける Google 端末がない: Android 7.0 を搭載した Google 端末が問題の影響を受けない場合、表の「更新対象の Google 端末」列には「なし」と記載されています。

4. 「参照」列の項目はどのような情報に関連付けられていますか?

脆弱性の詳細の表で「参照」列に記載した内容には、その参照番号が属す組織を示す接頭辞を含めている場合があります。各接頭辞の意味は以下のとおりです。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号

改訂

  • 2016 年 11 月 7 日: 情報公開
  • 11 月 8 日: 公開情報を改訂し AOSP リンクを追加。また、CVE-2016-6709 の説明を更新。
  • 11 月 17 日: 公開情報を改訂し CVE-2016-6828 の帰属を追加。
  • 12 月 21 日: 調査協力者のクレジットを更新。