Android のセキュリティに関する公開情報 - 2017 年 7 月

2017 年 7 月 5 日公開 | 2017 年 9 月 26 日更新

Android のセキュリティに関する公開情報には、Android 搭載デバイスに影響を及ぼすセキュリティの脆弱性の詳細を掲載しています。2017 年 7 月 5 日以降のセキュリティ パッチレベルでは、下記のすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Google Pixel と Nexus のアップデート スケジュールをご覧ください。

パートナーには、この公開情報に記載の問題について 1 か月前までに通知済みです。Android オープンソース プロジェクト(AOSP)のリポジトリに、以下の問題に対するソースコードのパッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。

下記の問題のうち最も重大度の高いものは、メディア フレームワークに重大なセキュリティの脆弱性があるため、リモートの攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあることです。重大度の評価は、攻撃対象のデバイスでその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。

この新たに報告された問題によって実際のユーザー デバイスが不正使用された報告はありません。Android セキュリティ プラットフォームの保護や Google Play プロテクトについて詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。

ご利用のデバイスに上記のアップデートを適用することをすべてのユーザーにおすすめします。

注: 最新の無線(OTA)アップデートと Google デバイスのファームウェア イメージについての情報は、Google デバイスのアップデートでご覧いただけます。

お知らせ

  • この公開情報では、2 つのセキュリティ パッチレベル文字列を定義しています。これは、すべての Android デバイスで同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、一般的な質問と回答をご覧ください。
    • 2017-07-01: 部分的に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-07-01(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。
    • 2017-07-05: 完全に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-07-01 と 2017-07-05(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。

Android と Google Play プロテクトのリスク軽減策

ここでは、Android セキュリティ プラットフォームの保護と Google Play プロテクトのようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

  • Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
  • Android セキュリティ チームは、Google Play プロテクトによって脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。Google Play プロテクトは、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。

セキュリティ パッチレベル 2017-07-01 の脆弱性の詳細

パッチレベル 2017-07-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、脆弱性のタイプ重大度、更新対象の AOSP バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

ランタイム

ランタイムの最も重大な脆弱性は、リモートの攻撃者が特別に細工したファイルを使用して、権限のないプロセス内で任意のコードを実行するおそれがあることです。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-3544 A-35784677 RCE 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2

フレームワーク

フレームワークの最も重大な脆弱性は、悪意のあるローカルアプリが特別に細工したファイルを使用して、ライブラリを使用するアプリ内で任意のコードを実行するおそれがあることです。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-0664 A-36491278 EoP 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0665 A-36991414 EoP 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0666 A-37285689 EoP 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0667 A-37478824 EoP 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0668 A-22011579 ID 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0669 A-34114752 ID 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0670 A-36104177 DoS 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2

ライブラリ

ライブラリの最も重大な脆弱性は、リモートの攻撃者が特別に細工したファイルを使用して、ライブラリを使用するアプリ内で任意のコードを実行するおそれがあることです。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-0671 A-34514762* RCE 4.4.4
CVE-2016-2109 A-35443725 DoS 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0672 A-34778578 DoS 7.0、7.1.1、7.1.2

メディア フレームワーク

メディア フレームワークの最も重大な脆弱性により、リモートの攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあります。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-0540 A-33966031 RCE 重大 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0673 A-33974623 RCE 重大 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0674 A-34231163 RCE 重大 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0675 A-34779227 [2] RCE 重大 6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0676 A-34896431 RCE 重大 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0677 A-36035074 RCE 重大 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0678 A-36576151 RCE 重大 7.0、7.1.1、7.1.2
CVE-2017-0679 A-36996978 RCE 重大 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0680 A-37008096 RCE 重大 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0681 A-37208566 RCE 重大 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0682 A-36588422* RCE 7.0、7.1.1、7.1.2
CVE-2017-0683 A-36591008* RCE 7.0、7.1.1、7.1.2
CVE-2017-0684 A-35421151 EoP 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0685 A-34203195 DoS 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0686 A-34231231 DoS 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0688 A-35584425 DoS 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0689 A-36215950 DoS 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0690 A-36592202 DoS 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0691 A-36724453 DoS 7.0、7.1.1、7.1.2
CVE-2017-0692 A-36725407 DoS 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0693 A-36993291 DoS 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0694 A-37093318 DoS 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0695 A-37094889 DoS 5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0696 A-37207120 DoS 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0697 A-37239013 DoS 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0698 A-35467458 ID 6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0699 A-36490809 ID 6.0、6.0.1、7.0、7.1.1、7.1.2

システム UI

システム UI の最も重大な脆弱性は、リモートの攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあることです。

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-0700 A-35639138 RCE 7.1.1、7.1.2
CVE-2017-0701 A-36385715 [2] RCE 7.1.1、7.1.2
CVE-2017-0702 A-36621442 RCE 7.1.1、7.1.2
CVE-2017-0703 A-33123882 EoP 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2
CVE-2017-0704 A-33059280 EoP 7.1.1、7.1.2

セキュリティ パッチレベル 2017-07-05 の脆弱性の詳細

パッチレベル 2017-07-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。影響を受けるコンポーネントごとに脆弱性を分類し、CVE、関連する参照先、脆弱性のタイプ重大度、コンポーネント(該当する場合)、更新対象の AOSP バージョン(該当する場合)などの詳細を記載しています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

Broadcom コンポーネント

Broadcom コンポーネントの最も重大な脆弱性は、近くにいる攻撃者によってカーネル内で任意のコードが実行されるおそれがあることです。

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-9417 A-38041027*
B-RB#123023
RCE 重大 Wi-Fi ドライバ
CVE-2017-0705 A-34973477*
B-RB#119898
EoP Wi-Fi ドライバ
CVE-2017-0706 A-35195787*
B-RB#120532
EoP Wi-Fi ドライバ

HTC コンポーネント

HTC コンポーネントの最も重大な脆弱性は、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあることです。

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-0707 A-36088467* EoP LED ドライバ
CVE-2017-0708 A-35384879* ID サウンド ドライバ
CVE-2017-0709 A-35468048* ID センサーハブ ドライバ

カーネル コンポーネント

フレームワークの最も重大な脆弱性により、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-6074 A-35784697
アップストリーム カーネル
EoP ネットワーク サブシステム
CVE-2017-5970 A-35805460
アップストリーム カーネル
DoS ネットワーク サブシステム
CVE-2015-5707 A-35841297
アップストリーム カーネル [2]
EoP SCSI ドライバ
CVE-2017-7308 A-36725304
アップストリーム カーネル [2] [3]
EoP ネットワーク ドライバ
CVE-2014-9731 A-35841292
アップストリーム カーネル
ID ファイル システム

MediaTek コンポーネント

MediaTek コンポーネントの最も重大な脆弱性により、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-0711 A-36099953*
M-ALPS03206781
EoP ネットワーク ドライバ

NVIDIA コンポーネント

NVIDIA コンポーネントの最も重大な脆弱性により、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-0340 A-33968204*
N-CVE-2017-0340
EoP Libnvparser
CVE-2017-0326 A-33718700*
N-CVE-2017-0326
ID ビデオドライバ

Qualcomm コンポーネント

Qualcomm コンポーネントの最も重大な脆弱性は、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあることです。

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-8255 A-36251983
QC-CR#985205
EoP ブートローダー
CVE-2016-10389 A-34500449
QC-CR#1009145
EoP ブートローダー
CVE-2017-8253 A-35400552
QC-CR#1086764
EoP カメラドライバ
CVE-2017-8262 A-32938443
QC-CR#2029113
EoP GPU ドライバ
CVE-2017-8263 A-34126808*
QC-CR#1107034
EoP 無名共有メモリ サブシステム
CVE-2017-8267 A-34173755*
QC-CR#2001129
EoP 無名共有メモリ サブシステム
CVE-2017-8273 A-35400056
QC-CR#1094372 [2]
EoP ブートローダー
CVE-2016-5863 A-36251182
QC-CR#1102936
EoP USB HID ドライバ
CVE-2017-8243 A-34112490*
QC-CR#2001803
EoP SoC ドライバ
CVE-2017-8246 A-37275839
QC-CR#2008031
EoP サウンド ドライバ
CVE-2017-8256 A-37286701
QC-CR#1104565
EoP Wi-Fi ドライバ
CVE-2017-8257 A-37282763
QC-CR#2003129
EoP ビデオドライバ
CVE-2017-8259 A-34359487
QC-CR#2009016
EoP SoC ドライバ
CVE-2017-8260 A-34624155
QC-CR#2008469
EoP カメラドライバ
CVE-2017-8261 A-35139833*
QC-CR#2013631
EoP カメラドライバ
CVE-2017-8264 A-33299365*
QC-CR#1107702
EoP カメラドライバ
CVE-2017-8265 A-32341313
QC-CR#1109755
EoP ビデオドライバ
CVE-2017-8266 A-33863407
QC-CR#1110924
EoP ビデオドライバ
CVE-2017-8268 A-34620535*
QC-CR#2002207
EoP カメラドライバ
CVE-2017-8270 A-35468665*
QC-CR#2021363
EoP Wi-Fi ドライバ
CVE-2017-8271 A-35950388*
QC-CR#2028681
EoP ビデオドライバ
CVE-2017-8272 A-35950805*
QC-CR#2028702
EoP ビデオドライバ
CVE-2017-8254 A-36252027
QC-CR#832914
ID サウンド ドライバ
CVE-2017-8258 A-37279737
QC-CR#2005647
ID カメラドライバ
CVE-2017-8269 A-33967002*
QC-CR#2013145
ID IPA ドライバ

Qualcomm クローズドソース コンポーネント

Qualcomm コンポーネントに影響を及ぼす脆弱性は次のとおりです。詳細については、2014~2016 年の Qualcomm AMSS のセキュリティに関する公開情報をご覧ください。これらが今回の「Android のセキュリティに関する公開情報」に追記されているのは、その修正を Android のセキュリティ パッチレベルと関連付けるためです。ここに記載されている脆弱性の修正は、Qualcomm から直接入手できます。

CVE 参照 タイプ 重大度 コンポーネント
CVE-2014-9411 A-37473054* N/A クローズドソース コンポーネント
CVE-2014-9968 A-37304413* N/A クローズドソース コンポーネント
CVE-2014-9973 A-37470982* N/A クローズドソース コンポーネント
CVE-2014-9974 A-37471979* N/A クローズドソース コンポーネント
CVE-2014-9975 A-37471230* N/A クローズドソース コンポーネント
CVE-2014-9977 A-37471087* N/A クローズドソース コンポーネント
CVE-2014-9978 A-37468982* N/A クローズドソース コンポーネント
CVE-2014-9979 A-37471088* N/A クローズドソース コンポーネント
CVE-2014-9980 A-37471029* N/A クローズドソース コンポーネント
CVE-2015-0575 A-37296999* N/A クローズドソース コンポーネント
CVE-2015-8592 A-37470090* N/A クローズドソース コンポーネント
CVE-2015-8595 A-37472411* N/A クローズドソース コンポーネント
CVE-2015-8596 A-37472806* N/A クローズドソース コンポーネント
CVE-2015-9034 A-37305706* N/A クローズドソース コンポーネント
CVE-2015-9035 A-37303626* N/A クローズドソース コンポーネント
CVE-2015-9036 A-37303519* N/A クローズドソース コンポーネント
CVE-2015-9037 A-37304366* N/A クローズドソース コンポーネント
CVE-2015-9038 A-37303027* N/A クローズドソース コンポーネント
CVE-2015-9039 A-37302628* N/A クローズドソース コンポーネント
CVE-2015-9040 A-37303625* N/A クローズドソース コンポーネント
CVE-2015-9041 A-37303518* N/A クローズドソース コンポーネント
CVE-2015-9042 A-37301248* N/A クローズドソース コンポーネント
CVE-2015-9043 A-37305954* N/A クローズドソース コンポーネント
CVE-2015-9044 A-37303520* N/A クローズドソース コンポーネント
CVE-2015-9045 A-37302136* N/A クローズドソース コンポーネント
CVE-2015-9046 A-37301486* N/A クローズドソース コンポーネント
CVE-2015-9047 A-37304367* N/A クローズドソース コンポーネント
CVE-2015-9048 A-37305707* N/A クローズドソース コンポーネント
CVE-2015-9049 A-37301488* N/A クローズドソース コンポーネント
CVE-2015-9050 A-37302137* N/A クローズドソース コンポーネント
CVE-2015-9051 A-37300737* N/A クローズドソース コンポーネント
CVE-2015-9052 A-37304217* N/A クローズドソース コンポーネント
CVE-2015-9053 A-37301249* N/A クローズドソース コンポーネント
CVE-2015-9054 A-37303177* N/A クローズドソース コンポーネント
CVE-2015-9055 A-37472412* N/A クローズドソース コンポーネント
CVE-2015-9060 A-37472807* N/A クローズドソース コンポーネント
CVE-2015-9061 A-37470436* N/A クローズドソース コンポーネント
CVE-2015-9062 A-37472808* N/A クローズドソース コンポーネント
CVE-2015-9067 A-37474000* N/A クローズドソース コンポーネント
CVE-2015-9068 A-37470144* N/A クローズドソース コンポーネント
CVE-2015-9069 A-37470777* N/A クローズドソース コンポーネント
CVE-2015-9070 A-37474001* N/A クローズドソース コンポーネント
CVE-2015-9071 A-37471819* N/A クローズドソース コンポーネント
CVE-2015-9072 A-37474002* N/A クローズドソース コンポーネント
CVE-2015-9073 A-37473407* N/A クローズドソース コンポーネント
CVE-2016-10343 A-32580186* N/A クローズドソース コンポーネント
CVE-2016-10344 A-32583954* N/A クローズドソース コンポーネント
CVE-2016-10346 A-37473408* N/A クローズドソース コンポーネント
CVE-2016-10347 A-37471089* N/A クローズドソース コンポーネント
CVE-2016-10382 A-28823584* N/A クローズドソース コンポーネント
CVE-2016-10383 A-28822389* N/A クローズドソース コンポーネント
CVE-2016-10388 A-32580294* N/A クローズドソース コンポーネント
CVE-2016-10391 A-32583804* N/A クローズドソース コンポーネント
CVE-2016-5871 A-37473055* N/A クローズドソース コンポーネント
CVE-2016-5872 A-37472809* N/A クローズドソース コンポーネント

Google デバイスのアップデート

Google デバイスの最新の無線(OTA)アップデートとファームウェア イメージのセキュリティ パッチレベルについて、次の表に示します。Google デバイスのファームウェア イメージは、Google デベロッパー サイトで入手できます。

Google デバイス セキュリティ パッチレベル
Google Pixel、Google Pixel XL 2017 年 7 月 5 日
Nexus 5X 2017 年 7 月 5 日
Nexus 6 2017 年 7 月 5 日
Nexus 6P 2017 年 7 月 5 日
Nexus 9 2017 年 7 月 5 日
Nexus Player 2017 年 7 月 5 日
Google Pixel C 2017 年 7 月 5 日

Google デバイスのアップデートには、下記のセキュリティの脆弱性に対するパッチも含まれています(該当する場合)。

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-0710 A-34951864* EoP TCB

謝辞

調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。

CVE 調査協力者
CVE-2017-8263 Google の Billy Lau
CVE-2017-0711 Alibaba Mobile Security Group の Chengming Yang、Baozeng Ding、Yang Song
CVE-2017-0681 C0RE TeamChi ZhangHanxiang Wen、Mingjian Zhou(@Mingjian_Zhou)、Xuxian Jiang
CVE-2017-0706 Tencent Xuanwu Lab の Daxing Guo(@freener0
CVE-2017-8260 Derrek(@derrekr6)、Scott Bauer
CVE-2017-8265 Tencent KeenLab(@keen_lab)の Di Shen(@returnsme
CVE-2017-0703 Dzmitry Lukyanenka
CVE-2017-0692、CVE-2017-0694 Qihoo 360 Technology Co. Ltd. Alpha Team の Elphet、Gong Guang
CVE-2017-8266、CVE-2017-8243、CVE-2017-8270 Qihoo 360 Technology Co. Ltd. IceSword Lab の Gengjia Chen(@chengjia4574)、pjf
CVE-2017-0665 C0RE TeamChi ZhangHanxiang Wen、Mingjian Zhou(@Mingjian_Zhou)、Xuxian Jiang
CVE-2017-8268、CVE-2017-8261 Qihoo 360 IceSword Lab の Jianqiang Zhao(@jianqiangzhao)、pjf
CVE-2017-0698 Census Consulting Inc. の Joey Brand
CVE-2017-0666、CVE-2017-0684 C0RE Team の Mingjian Zhou(@Mingjian_Zhou)、Chi Zhang、Xuxian Jiang
CVE-2017-0697、CVE-2017-0670 Niky1235@jiych_guru
CVE-2017-9417 Exodus Intelligence の Nitay Artenstein
CVE-2017-0705、CVE-2017-8259 Scott Bauer
CVE-2017-0667 CSS Inc. の Timothy Becker
CVE-2017-0682、CVE-2017-0683、CVE-2017-0676、 CVE-2017-0696、CVE-2017-0675、CVE-2017-0701、CVE-2017-0702、CVE-2017-0699 Vasily Vasiliev
CVE-2017-0695、CVE-2017-0689、CVE-2017-0540、CVE-2017-0680、 CVE-2017-0679、CVE-2017-0685、CVE-2017-0686、CVE-2017-0693、CVE-2017-0674、 CVE-2017-0677 Trend Micro Mobile Threat Response Team の V.E.O(@VYSEa
CVE-2017-0708 Tencent Security Platform Department の Xiling Gong
CVE-2017-0690 Qihoo 360 Qex Team の Yangkang(@dnpushme)、Liyadong
CVE-2017-8269、CVE-2017-8271、CVE-2017-8272、CVE-2017-8267 Qihoo 360 Technology Co. Ltd. IceSword Lab の Yonggang Guo(@guoygang
CVE-2017-8264、CVE-2017-0326、CVE-2017-0709 C0RE Team の Yuan-Tsung Lo(computernik@gmail.com)、Xuxian Jiang
CVE-2017-0704、CVE-2017-0669 Tencent Security Platform Department の Yuxiang Li(@Xbalien29
CVE-2017-0710 Android セキュリティ チームの Zach Riggle(@ebeip90
CVE-2017-0678 Qihoo 360 Technology Co. Ltd. Chengdu Security Response Center の Zinuo Han
CVE-2017-0691、CVE-2017-0700 Qihoo 360 Technology Co. Ltd. Chengdu Security Response Center の Zinuo HanPangu Team の Ao Wang(@ArayzSegment

一般的な質問と回答

上記の公開情報に対する一般的な質問とその回答は以下のとおりです。

1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?

デバイスのセキュリティ パッチレベルを確認する方法については、Google Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。

  • セキュリティ パッチレベル 2017-07-01 以降では、セキュリティ パッチレベル 2017-07-01 に関連するすべての問題に対処しています。
  • セキュリティ パッチレベル 2017-07-05 以降では、セキュリティ パッチレベル 2017-07-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。

このアップデートを組み込んだデバイス メーカーは、パッチレベル文字列を以下に設定する必要があります。

  • [ro.build.version.security_patch]:[2017-07-01]
  • [ro.build.version.security_patch]:[2017-07-05]

2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?

この公開情報では、2 つのセキュリティ パッチレベルを掲載しています。これは、すべての Android デバイスにまたがる同様の脆弱性をひとまとめにして、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。

  • 2017 年 7 月 1 日のセキュリティ パッチレベルを使用するデバイスでは、そのセキュリティ パッチレベルに関連するすべての問題と、これまでのセキュリティに関する公開情報で報告されたすべての問題の修正を含める必要があります。
  • 2017 年 7 月 5 日以降のセキュリティ パッチレベルを使用するデバイスでは、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを含める必要があります。

パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。

3. 「タイプ」列の項目はどういう意味ですか?

脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。

略語 定義
RCE リモートコード実行
EoP 権限昇格
ID 情報開示
DoS サービス拒否
なし 該当する分類なし

4. 「参照」列の項目はどういう意味ですか?

脆弱性の詳細の表で「参照」列に記載されている内容には、参照の値が属している組織を示した接頭辞が含まれている場合があります。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号

5. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?

公開されていない問題には、「参照」列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、Google デベロッパー サイトから入手できる Nexus デバイス用最新バイナリ ドライバに通常含まれています。

バージョン

バージョン 日付 メモ
1.0 2017 年 7 月 5 日 情報公開
1.1 2017 年 7 月 6 日 公開情報を改訂し AOSP リンクを追加
1.2 2017 年 7 月 11 日 公開情報を改訂し謝辞を更新
1.3 2017 年 8 月 17 日 公開情報を改訂し参照番号を更新
1.4 2017 年 9 月 19 日 CVE-2017-0710 の謝辞を更新
1.5 2017 年 9 月 26 日 CVE-2017-0681 の謝辞を更新