Google は、黒人コミュニティに対する人種平等の促進に取り組んでいます。取り組みを見る

Android Automotive OS Update Bulletin —2022年5月

2022年5月2日公開

Android Automotive OS(AAOS)Update Bulletinには、AndroidAutomotiveOSプラットフォームに影響を与えるセキュリティの脆弱性の詳細が含まれています。完全なAAOSアップデートには、このセキュリティ情報のすべての問題に加えて、 2022年5月のAndroidセキュリティ情報からの2022-05-05以降のセキュリティパッチレベルが含まれています。

すべてのお客様に、デバイスに対するこれらの更新を受け入れることをお勧めします。

このセキュリティ情報の問題は、AAOSコンポーネントのセキュリティが高い脆弱性であり、攻撃者がユーザーの同意なしにBTデバイスをペアリングできる可能性があります。重大度の評価は、プラットフォームとサービスの緩和策が開発目的でオフになっている場合、または正常にバイパスされた場合に、脆弱性の悪用が影響を受けるデバイスに与える可能性のある影響に基づいています。

お知らせ

  • 2022年5月のAndroidSecurityBulletinに記載されているセキュリティの脆弱性に加えて、2022年5月のAndroid Automotive OS Update Bulletinには、以下に説明するAAOSの脆弱性に特化したパッチも含まれています。

2022-05-01セキュリティパッチレベルの脆弱性の詳細

以下のセクションでは、2022-05-01パッチレベルに適用される各セキュリティの脆弱性の詳細を示します。脆弱性は、影響を受けるコンポーネントの下にグループ化されています。問題は以下の表で説明されており、CVE ID、関連する参照、脆弱性の種類重大度、および更新されたAOSPバージョン(該当する場合)が含まれます。利用可能な場合は、問題に対処した公開変更をAOSP変更リストなどのバグIDにリンクします。複数の変更が単一のバグに関連している場合、追加の参照はバグIDに続く番号にリンクされます。 Android 10以降を搭載したデバイスは、セキュリティアップデートとGooglePlayシステムアップデートを受け取る場合があります。

AAOS

このセクションの脆弱性により、攻撃者はユーザーの同意なしにBTデバイスをペアリングできる可能性があります。

CVE参考文献タイプ重大度更新されたAOSPバージョン
CVE-2021-39738 A-216190509 EoP高い10、11、12、12L

よくある質問と回答

このセクションでは、このセキュリティ情報を読んだ後に発生する可能性のある一般的な質問に回答します。

1.これらの問題に対処するためにデバイスが更新されているかどうかを確認するにはどうすればよいですか?

デバイスのセキュリティパッチレベルを確認する方法については、 Googleデバイスの更新スケジュールの手順をお読みください。

  • 2022-05-01以降のセキュリティパッチレベルは、2022-05-01セキュリティパッチレベルに関連するすべての問題に対処します。

これらのアップデートを含むデバイスメーカーは、パッチ文字列レベルを次のように設定する必要があります。

  • [ro.build.version.security_patch]:[2022-05-01]

Android 10以降の一部のデバイスでは、GooglePlayシステムアップデートに2022-05-01セキュリティパッチレベルと一致する日付文字列が含まれます。セキュリティ更新プログラムのインストール方法の詳細については、この記事を参照してください。

2. [タイプ]列のエントリはどういう意味ですか?

脆弱性の詳細テーブルの[タイプ]列のエントリは、セキュリティの脆弱性の分類を参照しています。

略語意味
RCEリモートコード実行
EoP特権の昇格
ID情報開示
DoSサービス拒否
該当なし分類できません

3. [参照]列のエントリはどういう意味ですか?

脆弱性の詳細テーブルの[参照]列の下のエントリには、参照値が属する組織を識別するプレフィックスが含まれている場合があります。

プレフィックス参照
A- AndroidのバグID
QC-クアルコムの参照番号
M- MediaTek参照番号
N- NVIDIA参照番号
B- Broadcom参照番号
U- UNISOC参照番号

4.[参照]列のAndroidバグIDの横にある*はどういう意味ですか?

公開されていない問題には、対応する参照IDの横に*が付いています。この問題のアップデートは通常、 Googleデベロッパーサイトから入手できるPixelデバイス用の最新のバイナリドライバーに含まれています。

5.セキュリティの脆弱性が、このセキュリティ情報と、Pixelセキュリティ情報などのデバイス/パートナーのセキュリティ情報との間で分割されるのはなぜですか?

このセキュリティ情報に記載されているセキュリティの脆弱性は、Androidデバイスで最新のセキュリティパッチレベルを宣言するために必要です。デバイス/パートナーのセキュリティ情報に記載されている追加のセキュリティの脆弱性は、セキュリティパッチレベルの宣言には必要ありません。 Androidデバイスおよびチップセットのメーカーは、 GoogleHuaweiLGEMotorolaNokiaSamsungなどの自社製品に固有のセキュリティ脆弱性の詳細を公開する場合もあります。

バージョン

バージョン日にちノート
1.0 2022年5月2日Bulletinが公開されました