Google、スマホなど向けOS「Android」の2017年11月度のセキュリティーパッチを提供開始!WPA2の脆弱性「…

0

Googleが2017年11月分のAndroid向けセキュリティーパッチを提供開始!


Googleは6日(現地時間)、同社が開発するスマートフォン(スマホ)やタブレットなど向けプラットフォーム「Android」における2017年11月度のセキュリティーパッチを提供開始したとお知らせしています。今年10月に発覚した無線LAN(Wi-Fi)の暗号化方式「WPA2」における脆弱性「KRACKs」への対応などが行われています。

Androidのオープンソース版「AOSP(Android Open Source Project)」で48時間以内に利用できるほか、Googleブランドの「Nexus 6P」や「Nexus 5X」、「Nexus Player」、「Pixel」、「Pixel XL」、「Pixel 2」ではファクトリーイメージが公開されており、これらの機種向けには順次OTAも配信開始されています。

ただし、実際にNexus 6Pに公開されているファクトリーイメージを導入してみたところAndroidセキュリティパッチレベルが2017年11月5日となっており、KRACKsへの対応が行われる2017年11月6日にはなっていなかったため、実際にKRACKsへの対応するにはもうしばらくかかるのかもしれません。

Androidにおける2017年11月度のセキュリティーパッチは「2017-11-01」および「2017-11-05」、「2017-11-06」の3つあり、特にWPA2の脆弱性であるKRACKsへ対応する「CVE-2017-13077〜88」については2017-11-06が適用されている必要があります。

これらのCVE-2017-13077〜88はともに危険度がHighとなっており、CVE-2017-13082のみがAndroid 7.0以降で修正されますが、他はAndroid 5.0.2以降での修正となっています。

KRACKsはこれまで安全性が高いと思われていたWPA2において暗号化されたデータの複号による盗聴が行われる脆弱性があり、特定の暗号化利用時における通信内容の改ざんが行われてしまう可能性が出たというものです。

現在のところこの脆弱性を悪用した事例は出ておらず、すでにWindows 10やiOS、macOSなどでは修正済みで、Wi-Fiのアクセスポイントではなく、スマホなどのクライアント側で対応すれば良いため、各OSでの修正が急がれています。

またこの他にも2017-11-01および2017-11-05に含まれる分でもMedia frameworkやSystem、Qualcomm componentsにて危険度がCriticalのものがあり、今後、各メーカーがこのセキュリティーパッチを元にソフトウェア更新を実施することになります。

Googleでは2017-11-01および2017-11-05はおよそ1ヶ月前、2017-11-06は先月中に各メーカーに連絡しているとしています。2017年11月度の各Androidセキュリティパッチレベルにおける修正点は以下の通り。

【2017-11-01】
Category CVE References Type Severity Updated AOSP versions
Framework CVE-2017-0830 A-62623498 EoP High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0831 A-37442941 EoP High 8.0
Media framework CVE-2017-0832 A-62887820 RCE Critical 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0833 A-62896384 RCE Critical 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0834 A-63125953 RCE Critical 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0835 A-63316832 RCE Critical 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0836 A-64893226 RCE Critical 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0839 A-64478003 ID High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0840 A-62948670 ID High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
System CVE-2017-0841 A-37723026 RCE Critical 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0842 A-37502513 EoP High 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

【2017-11-05】
Category CVE References Type Severity Component
Kernel components CVE-2017-9077 A-62265013
Upstream kernel
EoP High Networking subsystem
CVE-2017-7541 A-64258073
Upstream kernel
EoP High WLAN
MediaTek components CVE-2017-0843 A-62670819*
M-ALPS03361488
EoP High CCCI
NVIDIA components CVE-2017-6264 A-34705430*
N-CVE-2017-6264
EoP High GPU driver
Qualcomm components CVE-2017-11013 A-64453535
QC-CR#2058261 *
RCE Critical WLAN
CVE-2017-11015 A-64438728
QC-CR#2060959 *
RCE Critical WLAN
CVE-2017-11014 A-64438727
QC-CR#2060959
RCE Critical WLAN
CVE-2017-11092 A-62949902*
QC-CR#2077454
EoP High GPU driver
CVE-2017-9690 A-36575870*
QC-CR#2045285
EoP High QBT1000 driver
CVE-2017-11017 A-64453575
QC-CR#2055629
EoP High Linux boot
CVE-2017-11028 A-64453533
QC-CR#2008683 *
ID High Camera

【2017-11-06】
Category CVE References Type Severity Updated AOSP versions
System CVE-2017-13077 A-67737262 EoP High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13078 A-67737262 EoP High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13079 A-67737262 EoP High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13080 A-67737262 EoP High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13081 A-67737262 EoP High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13082 A-67737262 EoP High 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13086 A-67737262 EoP High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13087 A-67737262 EoP High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13088 A-67737262 EoP High 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
記事執筆:memn0ck

■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX – Facebookページ
・Android Security Bulletin-November 2017  |  Android Open Source Project
・Factory Images for Nexus and Pixel Devices  |  Google APIs for Android  |  Google Developers
・Full OTA Images for Nexus and Pixel Devices  |  Google APIs for Android  |  Google Developers

(引用元:livedoor news)