Pixel  /  Nexus のセキュリティに関する公開情報 - 2018 年 1 月

2018 年 1 月 2 日公開 | 2018 年 1 月 29 日更新

Pixel / Nexus のセキュリティに関する公開情報には、サポート対象の Google Pixel 端末と Nexus 端末(Google 端末)に影響を及ぼすセキュリティの脆弱性や機能強化の詳細を掲載しています。Google 端末では、セキュリティ パッチレベル 2018-01-05 以降において、この公開情報に掲載されているすべての問題と、2018 年 1 月の Android のセキュリティに関する公開情報に掲載されているすべての問題に対処しています。端末のセキュリティ パッチレベルを確認する方法については、Android のバージョンを確認して更新するをご覧ください。

パッチレベル 2018-01-05 へのアップデートは、サポート対象のすべての Google 端末に送信されます。ご利用の端末にこのアップデートを適用することをすべてのユーザーにおすすめします。

注: Google 端末のファームウェア イメージは、Google デベロッパー サイトで入手できます。

お知らせ

2018 年 1 月の Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性に加えて、Pixel 端末と Nexus 端末には、下記のセキュリティの脆弱性に対するパッチも含まれています。パートナーには少なくとも 1 か月前に下記の問題が通知されており、パートナーは端末のアップデートにこうしたパッチを組み込むことができます。

セキュリティ パッチ

脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、脆弱性のタイプ重大度、更新対象の AOSP(Android オープンソース プロジェクト)バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

フレームワーク

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-0846 A-64934810 [2] ID 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0

メディア フレームワーク

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-13201 A-63982768 ID 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13202 A-67647856 ID 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13206 A-65025048 ID 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1
CVE-2017-13207 A-37564426 ID 7.0、7.1.1、7.1.2、8.0
CVE-2017-13185 A-65123471 ID 7.0、7.1.1、7.1.2、8.0
DoS 5.1.1、6.0、6.0.1
CVE-2017-13187 A-65034175 ID 7.0、7.1.1、7.1.2、8.0、8.1
DoS 5.1.1、6.0、6.0.1
CVE-2017-13188 A-65280786 ID 7.0、7.1.1、7.1.2、8.0、8.1
DoS 5.1.1、6.0、6.0.1
CVE-2017-13203 A-63122634 ID 7.0、7.1.1、7.1.2、8.0、8.1
DoS 6.0、6.0.1
CVE-2017-13204 A-64380237 ID 7.0、7.1.1、7.1.2、8.0、8.1
DoS 6.0、6.0.1
CVE-2017-13205 A-64550583 ID 7.0、7.1.1、7.1.2、8.0、8.1
DoS 6.0、6.0.1
CVE-2017-13200 A-63100526 ID 7.0、7.1.1、7.1.2、8.0、8.1
ID 5.1.1、6.0、6.0.1
CVE-2017-13186 A-65735716 NSI NSI 7.0、7.1.1、7.1.2、8.0、8.1
DoS 6.0、6.0.1
CVE-2017-13189 A-68300072 NSI NSI 7.0、7.1.1、7.1.2、8.0、8.1
DoS 6.0.1
CVE-2017-13190 A-68299873 NSI NSI 7.0、7.1.1、7.1.2、8.0、8.1
DoS 6.0.1
CVE-2017-13194 A-64710201 NSI NSI 7.0、7.1.1、7.1.2、8.0、8.1
DoS 5.1.1、6.0、6.0.1
CVE-2017-13198 A-68399117 NSI NSI 7.0、7.1.1、7.1.2、8.0、8.1
DoS 5.1.1、6.0、6.0.1

システム

CVE 参照 タイプ 重大度 更新対象の AOSP バージョン
CVE-2017-13212 A-62187985 EoP 5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0

Broadcom コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-13213 A-63374465*
B-V2017081501
EoP Bcmdhd ドライバ

HTC コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-11072 A-65468991* EoP パーティション テーブル アップデータ

カーネル コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-13219 A-62800865* DoS Synaptics タッチスクリーン コントローラ
CVE-2017-13220 A-63527053* EoP BlueZ
CVE-2017-13221 A-64709938* EoP Wi-Fi ドライバ
CVE-2017-11473 A-64253928
アップストリーム カーネル
EoP カーネル
CVE-2017-13222 A-38159576* ID カーネル
CVE-2017-14140 A-65468230
アップストリーム カーネル
ID カーネル
CVE-2017-15537 A-68805943
アップストリーム カーネル
ID カーネル

MediaTek コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-13225 A-38308024*
M-ALPS03495789
EoP MTK Media
CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-13226 A-32591194*
M-ALPS03149184
EoP MTK

Qualcomm コンポーネント

CVE 参照 タイプ 重大度 コンポーネント
CVE-2017-9705 A-67713091
QC-CR#2059828
EoP SoC ドライバ
CVE-2017-15847 A-67713087
QC-CR#2070309
EoP SoC ドライバ
CVE-2017-15848 A-67713083
QC-CR#2073777
EoP ドライバ
CVE-2017-11081 A-67713113
QC-CR#2077622
EoP WLAN
CVE-2017-15845 A-67713111
QC-CR#2072966
EoP WLAN
CVE-2017-14873 A-67713104
QC-CR#2057144 [ 2]
EoP グラフィックス ドライバ
CVE-2017-11035 A-67713108
QC-CR#2070583
EoP ワイヤレス ドライバ
CVE-2017-11003 A-64439673
QC-CR#2026193
EoP ブートローダー
CVE-2017-9689 A-62828527
QC-CR#2037019
EoP HDMI ドライバ
CVE-2017-14879 A-63890276*
QC-CR#2056307
EoP IPA ドライバ
CVE-2017-11080 A-66937382
QC-CR#2078272
EoP ブートローダー
CVE-2017-14869 A-67713093
QC-CR#2061498
ID ブートローダー
CVE-2017-11066 A-65468971
QC-CR#2068506
ID ブートローダー
CVE-2017-15850 A-62464339*
QC-CR#2113240
ID マイクドライバ
CVE-2017-9712 A-63868883
QC-CR#2033195
ID ワイヤレス ドライバ
CVE-2017-11079 A-67713100
QC-CR#2078342
ID ブートローダー
CVE-2017-14870 A-67713096
QC-CR#2061506
ID ブートローダー
CVE-2017-11079 A-66937383
QC-CR#2078342
ID ブートローダー

機能の更新

影響を受ける Pixel 端末には、Pixel 端末のセキュリティに関係しない機能の問題に対処する下記のアップデートが組み込まれています。関連する参照先、影響を受けるカテゴリ(Bluetooth やモバイルデータなど)、問題の概要を下記の表にまとめています。

参照 カテゴリ 改善内容
A-68810306 キーストア キーストアにおけるキーのアップグレード処理を調整しました。
A-70213235 安定性 OTA のインストール後の安定性とパフォーマンスを改善しました。

一般的な質問と回答

上記の公開情報に対する一般的な質問について、以下で回答します。

1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか?

セキュリティ パッチレベル 2018-01-05 以降では、セキュリティ パッチレベル 2018-01-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。端末のセキュリティ パッチレベルを確認する方法については、Pixel および Nexus のアップデート スケジュールに記載されている手順をご覧ください。

2. 「タイプ」列の項目はどういう意味ですか?

脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。

略語 定義
RCE リモートコード実行
EoP 権限昇格
ID 情報開示
DoS サービス拒否
なし 該当する分類なし

3. 「参照」列の項目はどういう意味ですか?

脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属す組織を示す接頭辞を含めている場合があります。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号

4. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?

公開されていない問題には、「参照」列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、通常、Google Developers サイトから入手できる Nexus 端末用最新バイナリ ドライバに含まれています。

5. セキュリティの脆弱性が、この公開情報と Android のセキュリティに関する公開情報に分けられているのはなぜですか?

Android 搭載端末の最新のセキュリティ パッチレベルを宣言するためには、Android のセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要です。それ以外の、この公開情報などに掲載されているセキュリティの脆弱性への対処は必要ありません。

バージョン

バージョン 日付 メモ
1.0 2018 年 1 月 2 日 情報公開
1.1 2018 年 1 月 5 日 公開情報を改訂し AOSP リンクを追加
1.2 2018 年 1 月 29 日 CVE-2017-13225 を追加