Google は、黒人コミュニティに対する人種平等の促進に取り組んでいます。取り組みを見る
このページは Cloud Translation API によって翻訳されました。
Switch to English

Androidセキュリティ速報-2021年3月

2021年3月1日公開| 2021年3月3日更新

Android Security Bulletinには、Androidデバイスに影響を与えるセキュリティの脆弱性の詳細が含まれています。 2021-03-05以降のセキュリティパッチレベルは、これらすべての問題に対処します。デバイスのセキュリティパッチレベルを確認する方法については、Androidのバージョン確認して更新するをご覧ください

Androidパートナーには、公開の少なくとも1か月前にすべての問題が通知されます。これらの問題のソースコードパッチは、Android Open Source Project(AOSP)リポジトリにリリースされており、このセキュリティ情報からリンクされています。このセキュリティ情報には、AOSP以外のパッチへのリンクも含まれています。

これらの問題の中で最も深刻なのは、システムコンポーネントの重大なセキュリティの脆弱性であり、特別に細工された送信を使用してリモートの攻撃者が特権プロセスのコンテキスト内で任意のコードを実行できる可能性があります。重大度の評価は、プラットフォームとサービスの緩和策が開発目的でオフになっている、または正常にバイパスされた場合に、脆弱性の悪用が影響を受けるデバイスに与える可能性のある影響に基づいています。

Androidプラットフォームのセキュリティを向上させるAndroidセキュリティプラットフォーム保護とGooglePlayプロテクトの詳細については、 AndroidとGooglePlayプロテクトの緩和策のセクションを参照してください。

AndroidおよびGoogleサービスの緩和

これは、 AndroidセキュリティプラットフォームGooglePlayプロテクトなどのサービス保護によって提供される緩和策の概要です。これらの機能により、Androidでセキュリティの脆弱性が悪用される可能性が低くなります。

  • Androidプラットフォームの新しいバージョンでの機能強化により、Androidでの多くの問題の悪用がより困難になっています。可能な場合は、すべてのユーザーが最新バージョンのAndroidに更新することをお勧めします。
  • Androidセキュリティチームは、 Google Playプロテクトを通じて不正使用を積極的に監視し、 有害な可能性のあるアプリケーションについてユーザーに警告します。 Google Playプロテクトは、 Googleモバイルサービスを搭載したデバイスでデフォルトで有効になっており、GooglePlayの外部からアプリをインストールするユーザーにとって特に重要です。

2021-03-01セキュリティパッチレベルの脆弱性の詳細

以下のセクションでは、2021-03-01パッチレベルに適用される各セキュリティの脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。以下の表に問題が記載されており、CVE ID、関連する参照、脆弱性の種類重大度、および更新されたAOSPバージョン(該当する場合)が含まれます。可能な場合は、AOSP変更リストなど、問題に対処した公開変更をバグIDにリンクします。複数の変更が単一のバグに関連している場合、追加の参照はバグIDに続く番号にリンクされます。 Android 10以降を搭載したデバイスは、セキュリティアップデートとGooglePlayシステムアップデートを受け取る場合があります

Androidランタイム

このセクションの脆弱性により、ローカルの攻撃者が特権プロセスのコンテキスト内で任意のコードを実行する可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2021-0395 A-170315126 EoP高い11

フレームワーク

このセクションで最も深刻な脆弱性により、特権アクセスを持つローカルの攻撃者が機密データにアクセスできる可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2021-0391 A-172841550 EoP高い8.1、9、10、11
CVE-2021-0398 A-173516292 EoP高い11

システム

このセクションの最も深刻な脆弱性により、リモートの攻撃者が特別に細工した送信を使用して、特権プロセスのコンテキスト内で任意のコードを実行する可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2021-0397 A-174052148 RCEクリティカル8.1、9、10、11
CVE-2017-14491 A-158221622 RCE高い8.1、9、10、11
CVE-2021-0393 A-168041375 RCE高い8.1、9、10、11
CVE-2021-0396 A-160610106 RCE高い8.1、9、10、11
CVE-2021-0390 A-174749461 EoP高い8.1、9、10、11
CVE-2021-0392 A-175124730 EoP高い9、10、11
CVE-2021-0394 A-172655291 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] ID高い8.1、9、10、11

GooglePlayシステムのアップデート

次の問題は、プロジェクトメインラインコンポーネントに含まれています。

成分CVE
Wi-Fi CVE-2021-0390

2021-03-05セキュリティパッチレベルの脆弱性の詳細

以下のセクションでは、2021-03-05パッチレベルに適用される各セキュリティ脆弱性の詳細を提供します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。以下の表に問題が記載されており、CVE ID、関連する参照、脆弱性の種類重大度、および更新されたAOSPバージョン(該当する場合)が含まれます。可能な場合は、問題に対処した公開変更を、AOSP変更リストなどのバグIDにリンクします。複数の変更が単一のバグに関連している場合、追加の参照はバグIDに続く番号にリンクされます。

カーネルコンポーネント

このセクションの脆弱性により、ローカルの攻撃者が特別に細工したファイルを使用して、特権プロセスのコンテキスト内で任意のコードを実行する可能性があります。

CVE参考文献タイプ重大度成分
CVE-2021-0399 A-176919394
アップストリームカーネル[ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ]
EoP高いxt_qtaguid

クアルコムのコンポーネント

これらの脆弱性はQualcommコンポーネントに影響を及ぼし、適切なQualcommセキュリティ情報またはセキュリティアラートでさらに詳しく説明されています。これらの問題の重大度評価は、クアルコムから直接提供されます。

CVE参考文献重大度成分
CVE-2020-11223
A-172349026
QC-CR#2721399 *
高いカメラ
CVE-2020-11290 A-168917883
QC-CR#2761634
高い表示
CVE-2020-11308 A-175038288
QC-CR#2783331
高いブートローダー
CVE-2020-11309 A-175038160
QC-CR#2783659
高い表示

クアルコムのクローズドソースコンポーネント

これらの脆弱性はクアルコムのクローズドソースコンポーネントに影響を及ぼし、適切なクアルコムのセキュリティ情報またはセキュリティアラートでさらに詳しく説明されています。これらの問題の重大度評価は、クアルコムから直接提供されます。

CVE参考文献重大度成分
CVE-2020-11192
A-168050025 *クリティカルクローズドソースコンポーネント
CVE-2020-11204 A-162750025 *クリティカルクローズドソースコンポーネント
CVE-2020-11218 A-168049956 *クリティカルクローズドソースコンポーネント
CVE-2020-11227 A-168050276 *クリティカルクローズドソースコンポーネント
CVE-2020-11228 A-168050345 *クリティカルクローズドソースコンポーネント
CVE-2020-11165 A-160605782 *高いクローズドソースコンポーネント
CVE-2020-11166 A-168051733 *高いクローズドソースコンポーネント
CVE-2020-11171 A-168050346 *高いクローズドソースコンポーネント
CVE-2020-11178 A-160605529 *高いクローズドソースコンポーネント
CVE-2020-11186 A-168049957 *高いクローズドソースコンポーネント
CVE-2020-11188 A-168050859 *高いクローズドソースコンポーネント
CVE-2020-11189 A-168051051 *高いクローズドソースコンポーネント
CVE-2020-11190 A-168051033 *高いクローズドソースコンポーネント
CVE-2020-11194 A-162756908 *高いクローズドソースコンポーネント
CVE-2020-11195 A-162756604 *高いクローズドソースコンポーネント
CVE-2020-11198 A-162756735 *高いクローズドソースコンポーネント
CVE-2020-11199 A-168050860 *高いクローズドソースコンポーネント
CVE-2020-11220 A-168050239 *高いクローズドソースコンポーネント
CVE-2020-11221 A-168051035 *高いクローズドソースコンポーネント
CVE-2020-11222 A-168050578 *高いクローズドソースコンポーネント
CVE-2020-11226 A-168050240 *高いクローズドソースコンポーネント
CVE-2020-11299 A-175038625 *高いクローズドソースコンポーネント

よくある質問と回答

このセクションでは、このセキュリティ情報を読んだ後に発生する可能性のある一般的な質問に回答します。

1.これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?

デバイスのセキュリティパッチレベルを確認する方法については、Androidのバージョン確認して更新するをご覧ください

  • 2021-03-01以降のセキュリティパッチレベルは、2021-03-01セキュリティパッチレベルに関連するすべての問題に対処します。
  • 2021-03-05以降のセキュリティパッチレベルは、2021-03-05セキュリティパッチレベルおよび以前のすべてのパッチレベルに関連するすべての問題に対処します。

これらのアップデートを含むデバイスメーカーは、パッチ文字列レベルを次のように設定する必要があります。

  • [ro.build.version.security_patch]:[2021-03-01]
  • [ro.build.version.security_patch]:[2021-03-05]

Android 10以降の一部のデバイスでは、GooglePlayシステムアップデートに2021-03-01セキュリティパッチレベルと一致する日付文字列が含まれます。セキュリティ更新プログラムのインストール方法の詳細については、 この記事を参照しください。

2.このセキュリティ情報に2つのセキュリティパッチレベルがあるのはなぜですか?

このセキュリティ情報には2つのセキュリティパッチレベルがあるため、Androidパートナーは、すべてのAndroidデバイスで類似している脆弱性のサブセットをより迅速に修正できます。 Androidパートナーは、このセキュリティ情報のすべての問題を修正し、最新のセキュリティパッチレベルを使用することをお勧めします。

  • 2021-03-01セキュリティパッチレベルを使用するデバイスには、そのセキュリティパッチレベルに関連するすべての問題と、以前のセキュリティ情報で報告されたすべての問題の修正が含まれている必要があります。
  • 2021-03-05以降のセキュリティパッチレベルを使用するデバイスは、この(および以前の)セキュリティ情報に該当するすべてのパッチを含める必要があります。

パートナーは、対処しているすべての問題の修正を1回の更新にバンドルすることをお勧めします。

3. [タイプ]列のエントリはどういう意味ですか?

脆弱性の詳細テーブルの[タイプ]列のエントリは、セキュリティの脆弱性の分類を参照しています。

略語定義
RCEリモートコード実行
EoP特権の昇格
ID情報開示
DoSサービス拒否
該当なし分類できません

4. [参照]列のエントリはどういう意味ですか?

脆弱性の詳細テーブルの[参照]列の下のエントリには、参照値が属する組織を識別するプレフィックスが含まれている場合があります。

プレフィックス参照
A- AndroidのバグID
QC-クアルコムの参照番号
M- MediaTek参照番号
N- NVIDIA参照番号
B- Broadcom参照番号

5. [参照]列のAndroidバグIDの横にある*はどういう意味ですか?

公開されていない問題には、対応する参照IDの横に*が付いています。この問題のアップデートは通常、GoogleDeveloperサイトから入手できるPixelデバイス用の最新のバイナリドライバに含まれています

6.セキュリティの脆弱性が、このセキュリティ情報と、Pixelセキュリティ情報などのデバイス/パートナーのセキュリティ情報に分かれているのはなぜですか?

このセキュリティ情報に記載されているセキュリティの脆弱性は、Androidデバイスで最新のセキュリティパッチレベルを宣言するために必要です。デバイス/パートナーのセキュリティ情報に記載されている追加のセキュリティの脆弱性は、セキュリティパッチレベルの宣言には必要ありません。 Androidデバイスおよびチップセットの製造元は、 GoogleHuaweiLGEMotorolaNokiaSamsungなどの自社製品に固有のセキュリティ脆弱性の詳細を公開する場合もあります。

バージョン

バージョン日付ノート
1.0 2021年3月1日Bulletinがリリースされました
1.1 2021年3月3日Bulletinが改訂され、AOSPリンクが含まれるようになりました