 |
| Googleが2017年11月分のAndroid向けセキュリティーパッチを提供開始! |
Googleは6日(現地時間)、同社が開発するスマートフォン(スマホ)やタブレットなど向けプラットフォーム「Android」における2017年11月度のセキュリティーパッチを提供開始したとお知らせしています。今年10月に発覚した無線LAN(Wi-Fi)の暗号化方式「WPA2」における脆弱性「KRACKs」への対応などが行われています。
Androidのオープンソース版「AOSP(Android Open Source Project)」で48時間以内に利用できるほか、Googleブランドの「Nexus 6P」や「Nexus 5X」、「Nexus Player」、「Pixel」、「Pixel XL」、「Pixel 2」ではファクトリーイメージが公開されており、これらの機種向けには順次OTAも配信開始されています。
ただし、実際にNexus 6Pに公開されているファクトリーイメージを導入してみたところAndroidセキュリティパッチレベルが2017年11月5日となっており、KRACKsへの対応が行われる2017年11月6日にはなっていなかったため、実際にKRACKsへの対応するにはもうしばらくかかるのかもしれません。
Androidにおける2017年11月度のセキュリティーパッチは「2017-11-01」および「2017-11-05」、「2017-11-06」の3つあり、特にWPA2の脆弱性であるKRACKsへ対応する「CVE-2017-13077〜88」については2017-11-06が適用されている必要があります。
これらのCVE-2017-13077〜88はともに危険度がHighとなっており、CVE-2017-13082のみがAndroid 7.0以降で修正されますが、他はAndroid 5.0.2以降での修正となっています。
KRACKsはこれまで安全性が高いと思われていたWPA2において暗号化されたデータの複号による盗聴が行われる脆弱性があり、特定の暗号化利用時における通信内容の改ざんが行われてしまう可能性が出たというものです。
現在のところこの脆弱性を悪用した事例は出ておらず、すでにWindows 10やiOS、macOSなどでは修正済みで、Wi-Fiのアクセスポイントではなく、スマホなどのクライアント側で対応すれば良いため、各OSでの修正が急がれています。
またこの他にも2017-11-01および2017-11-05に含まれる分でもMedia frameworkやSystem、Qualcomm componentsにて危険度がCriticalのものがあり、今後、各メーカーがこのセキュリティーパッチを元にソフトウェア更新を実施することになります。
Googleでは2017-11-01および2017-11-05はおよそ1ヶ月前、2017-11-06は先月中に各メーカーに連絡しているとしています。2017年11月度の各Androidセキュリティパッチレベルにおける修正点は以下の通り。
| Category | CVE | References | Type | Severity | Updated AOSP versions |
| Framework | CVE-2017-0830 | A-62623498 | EoP | High | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0831 | A-37442941 | EoP | High | 8.0 | |
| Media framework | CVE-2017-0832 | A-62887820 | RCE | Critical | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0833 | A-62896384 | RCE | Critical | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-0834 | A-63125953 | RCE | Critical | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-0835 | A-63316832 | RCE | Critical | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-0836 | A-64893226 | RCE | Critical | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-0839 | A-64478003 | ID | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-0840 | A-62948670 | ID | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| System | CVE-2017-0841 | A-37723026 | RCE | Critical | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-0842 | A-37502513 | EoP | High | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| Category | CVE | References | Type | Severity | Component |
| Kernel components | CVE-2017-9077 | A-62265013 Upstream kernel |
EoP | High | Networking subsystem |
| CVE-2017-7541 | A-64258073 Upstream kernel |
EoP | High | WLAN | |
| MediaTek components | CVE-2017-0843 | A-62670819* M-ALPS03361488 |
EoP | High | CCCI |
| NVIDIA components | CVE-2017-6264 | A-34705430* N-CVE-2017-6264 |
EoP | High | GPU driver |
| Qualcomm components | CVE-2017-11013 | A-64453535 QC-CR#2058261 * |
RCE | Critical | WLAN |
| CVE-2017-11015 | A-64438728 QC-CR#2060959 * |
RCE | Critical | WLAN | |
| CVE-2017-11014 | A-64438727 QC-CR#2060959 |
RCE | Critical | WLAN | |
| CVE-2017-11092 | A-62949902* QC-CR#2077454 |
EoP | High | GPU driver | |
| CVE-2017-9690 | A-36575870* QC-CR#2045285 |
EoP | High | QBT1000 driver | |
| CVE-2017-11017 | A-64453575 QC-CR#2055629 |
EoP | High | Linux boot | |
| CVE-2017-11028 | A-64453533 QC-CR#2008683 * |
ID | High | Camera |
| Category | CVE | References | Type | Severity | Updated AOSP versions |
| System | CVE-2017-13077 | A-67737262 | EoP | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
| CVE-2017-13078 | A-67737262 | EoP | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-13079 | A-67737262 | EoP | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-13080 | A-67737262 | EoP | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-13081 | A-67737262 | EoP | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-13082 | A-67737262 | EoP | High | 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-13086 | A-67737262 | EoP | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-13087 | A-67737262 | EoP | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 | |
| CVE-2017-13088 | A-67737262 | EoP | High | 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0 |
■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・Android Security Bulletin-November 2017 | Android Open Source Project
・Factory Images for Nexus and Pixel Devices | Google APIs for Android | Google Developers
・Full OTA Images for Nexus and Pixel Devices | Google APIs for Android | Google Developers
(引用元:livedoor news)
