| <html devsite><head> |
| <title>Android のセキュリティに関する公開情報 - 2018 年 1 月</title> |
| <meta name="project_path" value="/_project.yaml"/> |
| <meta name="book_path" value="/_book.yaml"/> |
| </head> |
| <body> |
| <!-- |
| Copyright 2018 The Android Open Source Project |
| |
| Licensed under the Apache License, Version 2.0 (the "License"); |
| you may not use this file except in compliance with the License. |
| You may obtain a copy of the License at |
| |
| //www.apache.org/licenses/LICENSE-2.0 |
| |
| Unless required by applicable law or agreed to in writing, software |
| distributed under the License is distributed on an "AS IS" BASIS, |
| WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. |
| See the License for the specific language governing permissions and |
| limitations under the License. |
| --> |
| <p><em>2018 年 1 月 2 日公開 | 2018 年 1 月 29 日更新</em></p> |
| |
| <p> |
| Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。セキュリティ パッチレベル 2018-01-05 以降では、下記のすべての問題に対処しています。端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705">Android のバージョンを確認して更新する</a>をご覧ください。 |
| </p> |
| <p> |
| Android パートナーには、情報公開の 1 か月前までにすべての問題が通知されます。Android オープンソース プロジェクト(AOSP)のレポジトリに、下記の問題に対するソースコードのパッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。</p> |
| <p> |
| 下記の問題のうち最も重大度の高いものは、メディア フレームワークに重大なセキュリティの脆弱性があるため、リモートの攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあることです。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。 |
| </p> |
| <p> |
| この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や Google Play プロテクトについて詳しくは、<a href="#mitigations">Android と Google Play プロテクトのリスク軽減策</a>をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。 |
| </p> |
| <p> |
| <strong>注:</strong> 最新の無線(OTA)アップデートと Google 端末のファームウェア イメージについての情報は、2018 年 1 月の Pixel / Nexus のセキュリティに関する公開情報でご覧いただけます。 |
| </p> |
| <h2 id="announcements">お知らせ</h2> |
| <aside class="note"> |
| <p><strong>注:</strong> CVE-2017-5715、CVE-2017-5753、CVE-2017-5754(プロセッサの投機的実行に関する一連の脆弱性)が公開されています。Android では、ARM ベースの Android 搭載端末において不正な情報開示を可能にするこれらの脆弱性が再現されても認識できません。 |
| </p> |
| <p> |
| 保護を強化するには、この公開情報に含まれている CVE-2017-13218 に対するアップデートを適用して、高精度タイマーへのアクセスを減らします。これにより、既知のすべての種類の ARM プロセッサに対するサイドチャネル攻撃(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754 など)を制限することができます。 |
| </p> |
| <p>Google では、Android 搭載端末に利用可能なセキュリティ アップデートを適用することをおすすめしています。詳しくは、<a href="https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html">Google セキュリティ ブログ</a>をご覧ください。</p> |
| </aside> |
| <p> |
| 新たに <a href="/security/bulletin/pixel/">Pixel / Nexus のセキュリティに関する公開情報</a>の提供を開始しました。この公開情報には、Pixel 端末と Nexus 端末で対処されているその他のセキュリティの脆弱性や機能強化についての情報を掲載しています。Android 搭載端末メーカーは、自社の端末でそれらの問題に対処することができます。詳しくは、<a href="#common-questions-and-answers">一般的な質問と回答</a>をご覧ください。 |
| </p> |
| <h2 id="mitigations">Android と Google サービスでのリスク軽減策</h2> |
| <p> |
| ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォーム</a>の保護と <a href="https://www.android.com/play-protect">Google Play プロテクト</a>のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。 |
| </p><ul> |
| <li>Android プラットフォームの最新版での機能強化により、Android 上の多くの問題について悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。 |
| </li><li>Android セキュリティ チームは、<a href="https://www.android.com/play-protect">Google Play プロテクト</a>によって脆弱性の悪用を積極的に監視しており、<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">有害なおそれのあるアプリ</a>についてユーザーに警告しています。Google Play プロテクトは、<a href="http://www.android.com/gms">Google モバイル サービス</a>を搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。</li></ul> |
| <h2 id="2018-01-01-security-patch-level—vulnerability-details">セキュリティ パッチレベル 2018-01-01 の脆弱性の詳細</h2> |
| <p> |
| パッチレベル 2018-01-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、<a href="#type">脆弱性のタイプ</a>、<a href="/security/overview/updates-resources.html#severity">重大度</a>、更新対象の AOSP バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。</p> |
| |
| <h3 id="android-runtime">Android ランタイム</h3> |
| <p>Android ランタイムの最も重大な脆弱性は、リモートの攻撃者によって、追加権限を取得するために必要なユーザー操作が回避されるおそれがあることです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>更新対象の AOSP バージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13176</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/4afa0352d6c1046f9e9b67fbf0011bcd751fcbb5"> |
| A-68341964</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="media-framework">メディア フレームワーク</h3> |
| <p>メディア フレームワークの最も重大な脆弱性は、リモートの攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあることです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>更新対象の AOSP バージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13177</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b686bb2df155fd1f55220d56f38cc0033afe278c"> |
| A-68320413</a></td> |
| <td>RCE</td> |
| <td>重大</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13178</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/646a18fef28d19ba5beb6a2e1c00ac4c2663a10b"> |
| A-66969281</a></td> |
| <td>RCE</td> |
| <td>重大</td> |
| <td>6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13179</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/47d4b33b504e14e98420943f771a9aecd6d09516"> |
| A-66969193</a></td> |
| <td>RCE</td> |
| <td>重大</td> |
| <td>6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13180</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/cf1e36f93fc8776e3a8109149424babeee7f8382"> |
| A-66969349</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13181</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d64e9594d3d73c613010ca9fafc7af9782e9225d"> |
| A-67864232</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13182</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f1652e1b9f1d2840c79b6bf784d1befe40f4799e"> |
| A-67737022</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13184</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/native/+/16392a119661fd1da750d4d4e8e03442578bc543"> |
| A-65483324</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-0855</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d7d6df849cec9d0a9c1fd0d9957a1b8edef361b7"> |
| A-64452857</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13191</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> |
| A-64380403</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13192</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/52ca619511acbd542d843df1f92f858ce13048a5"> |
| A-64380202</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13193</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b3f31e493ef6fa886989198da9787807635eaae2"> |
| A-65718319</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13195</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/066e3b1f9c954d95045bc9d33d2cdc9df419784f"> |
| A-65398821</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13196</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> |
| A-63522067</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13197</td> |
| <td><a href="https://android.googlesource.com/platform/external/libhevc/+/0a714d3a14d256c6a5675d6fbd975ca26e9bc471"> |
| A-64784973</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13199</td> |
| <td><a href="https://android.googlesource.com/platform/frameworks/base/+/42b2e419b48a26d2ba599d87e3a2a02c4aa625f4"> |
| A-33846679</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>8.0、8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="system">システム</h3> |
| <p>システムの最も重大な脆弱性は、リモートの攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあることです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>更新対象の AOSP バージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13208</td> |
| <td><a href="https://android.googlesource.com/platform/system/core/+/b71335264a7c3629f80b7bf1f87375c75c42d868"> |
| A-67474440</a></td> |
| <td>RCE</td> |
| <td>重大</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13209</td> |
| <td><a href="https://android.googlesource.com/platform/system/libhidl/+/a4d0252ab5b6f6cc52a221538e1536c5b55c1fa7"> |
| A-68217907</a> |
| [<a href="https://android.googlesource.com/platform/system/tools/hidl/+/8539fc8ac94d5c92ef9df33675844ab294f68d61">2</a>] |
| [<a href="https://android.googlesource.com/platform/system/hwservicemanager/+/e1b4a889e8b84f5c13b76333d4de90dbe102a0de">3</a>]</td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13210</td> |
| <td><a href="https://android.googlesource.com/platform/system/media/+/e770e378dc8e2320679272234285456ca2244a62"> |
| A-67782345</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13211</td> |
| <td><a href="https://android.googlesource.com/platform/system/bt/+/181144a50114c824cfe3cdfd695c11a074673a5e"> |
| A-65174158</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>8.0</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="2018-01-05-security-patch-level—vulnerability-details">セキュリティ パッチレベル 2018-01-05 の脆弱性の詳細</h2> |
| <p> |
| パッチレベル 2018-01-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。影響を受けるコンポーネントごとに脆弱性を分類し、CVE、関連する参照先、<a href="#type">脆弱性のタイプ</a>、<a href="/security/overview/updates-resources.html#severity">重大度</a>、コンポーネント(該当する場合)、更新対象の AOSP バージョン(該当する場合)などの詳細を記載しています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。</p> |
| |
| <h3 id="htc-components">HTC コンポーネント</h3> |
| <p>HTC コンポーネントの最も重大な脆弱性は、リモートの攻撃者が重大なシステム プロセスでサービス拒否を引き起こすおそれがあることです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>コンポーネント</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13214</td> |
| <td>A-38495900<a href="#asterisk">*</a></td> |
| <td>DoS</td> |
| <td>高</td> |
| <td>ハードウェア HEVC デコーダ</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="kernel-components">カーネル コンポーネント</h3> |
| <p>カーネル コンポーネントの最も重大な脆弱性は、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあることです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>コンポーネント</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-14497</td> |
| <td>A-66694921<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=edbd58be15a957f6a760c4a514cd475217eb97fd"> |
| アップストリーム カーネル</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>TCP パケット処理</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13215</td> |
| <td>A-64386293<br /> |
| <a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?h=v3.18.78&id=36c84b22ac8aa041cbdfbe48a55ebb32e3521704"> |
| アップストリーム カーネル</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>Skcipher</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13216</td> |
| <td>A-66954097<a href="#asterisk">*</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>Ashmem</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-13218</td> |
| <td>A-68266545<a href="#asterisk">*</a></td> |
| <td>ID</td> |
| <td>高</td> |
| <td>高精度タイマー</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="lg-components">LG コンポーネント</h3> |
| <p>LG コンポーネントの最も重大な脆弱性は、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあることです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>コンポーネント</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13217</td> |
| <td>A-68269077<a href="#asterisk">*</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>ブートローダー</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="media-framework">メディア フレームワーク</h3> |
| <p>メディア フレームワークの最も重大な脆弱性は、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあることです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>更新対象の AOSP バージョン</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-13183</td> |
| <td>A-38118127</td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>8.1</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="nvidia-components">NVIDIA コンポーネント</h3> |
| <p>NVIDIA コンポーネントの最も重大な脆弱性は、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあることです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>コンポーネント</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-0869</td> |
| <td>A-37776156<a href="#asterisk">*</a><br /> |
| N-CVE-2017-0869</td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>NVIDIA ドライバ</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-components">Qualcomm コンポーネント</h3> |
| <p>Qualcomm コンポーネントの最も重大な脆弱性は、リモートの攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあることです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>コンポーネント</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-15849</td> |
| <td>A-66937641<br /> |
| <a href="https://source.codeaurora.org/quic/la/platform/hardware/qcom/display/commit/?id=0a59679b954c02b8996"> |
| QC-CR#2046572</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>ディスプレイ</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11069</td> |
| <td>A-65468974<br /> |
| <a href="https://source.codeaurora.org/quic/la/kernel/lk/commit/?id=daf1fbae4be7bd669264a7907677250ff2a1f89b"> |
| QC-CR#2060780</a></td> |
| <td>EoP</td> |
| <td>高</td> |
| <td>ブートローダー</td> |
| </tr> |
| </tbody></table> |
| |
| <h3 id="qualcomm-closed-source-components">Qualcomm クローズドソース コンポーネント</h3> |
| <p>Qualcomm コンポーネントに影響する脆弱性は次のとおりです。詳細については、該当する Qualcomm AMSS のセキュリティに関する公開情報またはセキュリティ アラートをご覧ください。この一連の問題の重大度は Qualcomm から提供されたものです。</p> |
| |
| <table> |
| <colgroup><col width="17%" /> |
| <col width="19%" /> |
| <col width="9%" /> |
| <col width="14%" /> |
| <col width="39%" /> |
| </colgroup><tbody><tr> |
| <th>CVE</th> |
| <th>参照</th> |
| <th>タイプ</th> |
| <th>重大度</th> |
| <th>コンポーネント</th> |
| </tr> |
| <tr> |
| <td>CVE-2017-14911</td> |
| <td>A-62212946<a href="#asterisk">*</a></td> |
| <td>N/A</td> |
| <td>重大</td> |
| <td>クローズドソース コンポーネント</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14906</td> |
| <td>A-32584150<a href="#asterisk">*</a></td> |
| <td>N/A</td> |
| <td>高</td> |
| <td>クローズドソース コンポーネント</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14912</td> |
| <td>A-62212739<a href="#asterisk">*</a></td> |
| <td>N/A</td> |
| <td>高</td> |
| <td>クローズドソース コンポーネント</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14913</td> |
| <td>A-62212298<a href="#asterisk">*</a></td> |
| <td>N/A</td> |
| <td>高</td> |
| <td>クローズドソース コンポーネント</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-14915</td> |
| <td>A-62212632<a href="#asterisk">*</a></td> |
| <td>N/A</td> |
| <td>高</td> |
| <td>クローズドソース コンポーネント</td> |
| </tr> |
| <tr> |
| <td>CVE-2013-4397</td> |
| <td>A-65944893<a href="#asterisk">*</a></td> |
| <td>N/A</td> |
| <td>高</td> |
| <td>クローズドソース コンポーネント</td> |
| </tr> |
| <tr> |
| <td>CVE-2017-11010</td> |
| <td>A-66913721<a href="#asterisk">*</a></td> |
| <td>N/A</td> |
| <td>高</td> |
| <td>クローズドソース コンポーネント</td> |
| </tr> |
| </tbody></table> |
| |
| <h2 id="common-questions-and-answers">一般的な質問と回答</h2> |
| <p> |
| 上記の公開情報に対する一般的な質問について、以下で回答します。 |
| </p> |
| <p> |
| <strong>1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか? |
| </strong> |
| </p> |
| <p> |
| 端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Android のバージョンを確認して更新する</a>をご覧ください。 |
| </p> |
| <ul> |
| <li>セキュリティ パッチレベル 2018-01-01 以降では、セキュリティ パッチレベル 2018-01-01 に関連するすべての問題に対処しています。</li> |
| <li>セキュリティ パッチレベル 2018-01-05 以降では、セキュリティ パッチレベル 2018-01-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。</li> |
| </ul> |
| <p> |
| このアップデートを組み込んだ端末メーカーは、パッチレベル文字列を以下に設定する必要があります。</p> |
| <ul> |
| <li>[ro.build.version.security_patch]:[2018-01-01]</li> |
| <li>[ro.build.version.security_patch]:[2018-01-05]</li> |
| </ul> |
| <p> |
| <strong>2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?</strong> |
| </p> |
| <p> |
| この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。 |
| </p> |
| <ul> |
| <li>2018-01-01 のセキュリティ パッチレベルを使用する端末では、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を含める必要があります。</li> |
| <li>2018-01-05 以降のセキュリティ パッチレベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。</li> |
| </ul> |
| <p> |
| パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。 |
| </p> |
| <p id="type"> |
| <strong>3. 「タイプ」<em></em>列の項目はどういう意味ですか?</strong> |
| </p> |
| <p> |
| 脆弱性の詳細の表で「タイプ」<em></em>列に記載した項目は、セキュリティの脆弱性の分類を示しています。 |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>略語</th> |
| <th>定義</th> |
| </tr> |
| <tr> |
| <td>RCE</td> |
| <td>リモートコード実行</td> |
| </tr> |
| <tr> |
| <td>EoP</td> |
| <td>権限昇格</td> |
| </tr> |
| <tr> |
| <td>ID</td> |
| <td>情報開示</td> |
| </tr> |
| <tr> |
| <td>DoS</td> |
| <td>サービス拒否</td> |
| </tr> |
| <tr> |
| <td>N/A</td> |
| <td>該当する分類なし</td> |
| </tr> |
| </tbody></table> |
| <p> |
| <strong>4. 「参照」<em></em>列の項目はどういう意味ですか?</strong> |
| </p> |
| <p> |
| 脆弱性の詳細の表で「参照」<em></em>列に記載した項目には、その参照番号が属す組織を示す接頭辞を含めている場合があります。 |
| </p> |
| <table> |
| <colgroup><col width="25%" /> |
| <col width="75%" /> |
| </colgroup><tbody><tr> |
| <th>接頭辞</th> |
| <th>参照</th> |
| </tr> |
| <tr> |
| <td>A-</td> |
| <td>Android バグ ID</td> |
| </tr> |
| <tr> |
| <td>QC-</td> |
| <td>Qualcomm の参照番号</td> |
| </tr> |
| <tr> |
| <td>M-</td> |
| <td>MediaTek の参照番号</td> |
| </tr> |
| <tr> |
| <td>N-</td> |
| <td>NVIDIA の参照番号</td> |
| </tr> |
| <tr> |
| <td>B-</td> |
| <td>Broadcom の参照番号</td> |
| </tr> |
| </tbody></table> |
| <p id="asterisk"> |
| <strong>5. 「参照」<em></em>列の Android バグ ID の横にある「*」はどういう意味ですか?</strong> |
| </p> |
| <p> |
| 公開されていない問題には、「参照」<em></em>列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、通常、<a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。 |
| </p> |
| <p> |
| <strong>6. セキュリティの脆弱性が、この公開情報と端末やパートナーのセキュリティに関する公開情報(Pixel / Nexus のセキュリティに関する公開情報など)に分けられているのはなぜですか?</strong> |
| </p> |
| <p> |
| Android 搭載端末の最新のセキュリティ パッチレベルを宣言するためには、このセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処が必要です。それ以外の、端末やパートナーのセキュリティに関する公開情報に掲載されているセキュリティの脆弱性への対処は必要ありません。<a href="https://security.samsungmobile.com/securityUpdate.smsb">Samsung</a>、<a href="https://lgsecurity.lge.com/security_updates.html">LGE</a> などの Android 搭載端末やチップセットのメーカーには、自社の端末に関して他にも修正がある場合は、自社のセキュリティ関連のウェブサイトや <a href="/security/bulletin/pixel/">Pixel / Nexus</a> のセキュリティに関する公開情報にその情報を掲載することが推奨されています。 |
| </p> |
| <h2 id="versions">バージョン</h2> |
| <table> |
| <colgroup><col width="15%" /> |
| <col width="25%" /> |
| <col width="60%" /> |
| </colgroup><tbody><tr> |
| <th>バージョン</th> |
| <th>日付</th> |
| <th>メモ</th> |
| </tr> |
| <tr> |
| <td>1.0</td> |
| <td>2018 年 1 月 2 日</td> |
| <td>情報公開</td> |
| </tr> |
| <tr> |
| <td>1.1</td> |
| <td>2018 年 1 月 3 日</td> |
| <td>公開情報を更新し CVE-2017-13218 に関するお知らせを追加</td> |
| </tr> |
| <tr> |
| <td>1.2</td> |
| <td>2018 年 1 月 5 日</td> |
| <td>公開情報を改訂し AOSP リンクを追加</td> |
| </tr> |
| <tr> |
| <td>1.3</td> |
| <td>2018 年 1 月 29 日</td> |
| <td>CVE-2017-13225 を <a href="/security/bulletin/pixel/">Pixel / Nexus のセキュリティに関する公開情報</a>に移動</td> |
| </tr></tbody></table> |
| |
| </body></html> |