diff options
Diffstat (limited to 'ja/security/bulletin/2017-09-01.html')
-rw-r--r-- | ja/security/bulletin/2017-09-01.html | 80 |
1 files changed, 40 insertions, 40 deletions
diff --git a/ja/security/bulletin/2017-09-01.html b/ja/security/bulletin/2017-09-01.html index 390ea1aa..c992fa5b 100644 --- a/ja/security/bulletin/2017-09-01.html +++ b/ja/security/bulletin/2017-09-01.html @@ -21,9 +21,9 @@ --> <p><em>2017 年 9 月 5 日公開 | 2017 年 10 月 5 日更新</em></p> -<p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。2017 年 9 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。</p> +<p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。2017 年 9 月 5 日以降のセキュリティ パッチレベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。</p> -<p>パートナーには、この公開情報に記載の問題について 1 か月前までに通知済みです。Android オープンソース プロジェクト(AOSP)レポジトリに、各問題に対するソースコード パッチをリリースしており、この公開情報にパッチへのリンクを掲載しています。この公開情報には AOSP 以外のパッチへのリンクも掲載しています。</p> +<p>パートナーには、この公開情報に記載の問題について 1 か月前までに通知済みです。Android オープンソース プロジェクト(AOSP)のレポジトリに、各問題に対するソースコード パッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。</p> <p>下記の問題のうち最も重大度の高いものは、メディア フレームワークに重大な脆弱性があるため、離れた場所にいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあることです。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。</p> @@ -35,10 +35,10 @@ <h2 id="announcements">お知らせ</h2> <ul> - <li>この公開情報では、2 つのセキュリティ パッチ レベル文字列を定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、<a href="#questions">一般的な質問と回答</a>をご覧ください。 + <li>この公開情報では、2 つのセキュリティ パッチレベル文字列を定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、<a href="#questions">一般的な質問と回答</a>をご覧ください。 <ul> - <li><strong>2017-09-01</strong>: 部分的に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチ レベル文字列は、2017-09-01(およびそれ以前のすべてのセキュリティ パッチ レベル文字列)に関連するすべての問題に対処していることを示します。</li> - <li><strong>2017-09-05</strong>: 完全に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチ レベル文字列は、2017-09-01 と 2017-09-05(およびそれ以前のすべてのセキュリティ パッチ レベル文字列)に関連するすべての問題に対処していることを示します。</li> + <li><strong>2017-09-01</strong>: 部分的に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-09-01(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。</li> + <li><strong>2017-09-05</strong>: 完全に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-09-01 と 2017-09-05(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。</li> </ul> </li> </ul> @@ -46,14 +46,14 @@ <h2 id="mitigations">Android と Google サービスでのリスク軽減策</h2> <p>ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォーム</a>の保護と <a href="https://www.android.com/play-protect">Google Play プロテクト</a>のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。</p> <ul> - <li>Android プラットフォームの最新版での機能強化により、Android にある多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。</li> + <li>Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。</li> <li>Android セキュリティ チームは、<a href="https://www.android.com/play-protect">Google Play プロテクト</a>によって脆弱性の悪用を積極的に監視しており、<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">有害なおそれのあるアプリ</a>についてユーザーに警告しています。Google Play プロテクトは、<a href="http://www.android.com/gms">Google モバイル サービス</a>を搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。</li> </ul> -<h2 id="2017-09-01-details">セキュリティ パッチ レベル 2017-09-01 の脆弱性の詳細</h2> -<p>パッチレベル 2017-09-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、<a href="#type">脆弱性の種類</a>、<a href="/security/overview/updates-resources.html#severity">重大度</a>、更新対象の AOSP バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。</p> +<h2 id="2017-09-01-details">セキュリティ パッチレベル 2017-09-01 の脆弱性の詳細</h2> +<p>パッチレベル 2017-09-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。脆弱性は、影響を受けるコンポーネントごとに分類しています。問題の内容について説明し、CVE、関連する参照先、<a href="#type">脆弱性のタイプ</a>、<a href="/security/overview/updates-resources.html#severity">重大度</a>、更新対象の AOSP バージョン(該当する場合)を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。</p> <h3 id="framework">フレームワーク</h3> -<p>フレームワークの最も重大な脆弱性は、悪意のあるローカルアプリによって、追加アクセス権限の取得に必要なユーザー操作要件が回避されるおそれがあることです。</p> +<p>フレームワークの最も重大な脆弱性により、悪意のあるローカルアプリによって、追加権限を取得するためのユーザー操作の要件が回避されるおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -71,8 +71,8 @@ <tr> <td>CVE-2017-0752</td> <td><a href="https://android.googlesource.com/platform/frameworks/base/+/6ca2eccdbbd4f11698bd5312812b4d171ff3c8ce"> -A-62196835</a> - [<a href="https://android.googlesource.com/platform/packages/apps/Settings/+/fc65be941a4dbebfdbe53cd0bd6cc5cc1142a908">2</a>]</td> + A-62196835</a> + [<a href="https://android.googlesource.com/platform/packages/apps/Settings/+/fc65be941a4dbebfdbe53cd0bd6cc5cc1142a908">2</a>]</td> <td>EoP</td> <td>高</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td> @@ -80,7 +80,7 @@ A-62196835</a> </tbody></table> <h3 id="libraries">ライブラリ</h3> -<p>ライブラリに重大な脆弱性があるため、離れた場所にいる攻撃者が特別に細工したファイルを使用して、権限のないプロセス内で任意のコードを実行するおそれがあります。</p> +<p>ライブラリの最も重大な脆弱性により、離れた場所にいる攻撃者が特別に細工したファイルを使用して、権限のないプロセス内で任意のコードを実行するおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -122,7 +122,7 @@ A-62196835</a> </tbody></table> <h3 id="media-framework">メディア フレームワーク</h3> -<p>メディア フレームワークに重大な脆弱性があるため、離れた場所にいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあります。</p> +<p>メディア フレームワークの最も重大な脆弱性により、離れた場所にいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -228,8 +228,8 @@ A-62196835</a> <tr> <td>CVE-2017-0767</td> <td><a href="https://android.googlesource.com/platform/frameworks/av/+/2410a6fa4286efc8c5b5a5f33f6eeb023bfb6abb"> -A-37536407</a> - [<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/045e30499e3c73fb05b0a97da2420fd27bb263a3">2</a>]</td> + A-37536407</a> +[<a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/045e30499e3c73fb05b0a97da2420fd27bb263a3">2</a>]</td> <td>EoP</td> <td>高</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td> @@ -285,8 +285,8 @@ A-37536407</a> <tr> <td>CVE-2017-0774</td> <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d4af2450c500c7d153fd66771b613f6e6882bf08"> -A-62673844</a> - [<a href="https://android.googlesource.com/platform/frameworks/av/+/5f56ec847a7f6250abd36a2f8a7b7baf4f966d11">2</a>]</td> + A-62673844</a> +[<a href="https://android.googlesource.com/platform/frameworks/av/+/5f56ec847a7f6250abd36a2f8a7b7baf4f966d11">2</a>]</td> <td>DoS</td> <td>高</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td> @@ -341,8 +341,8 @@ A-62673844</a> <tr> <td>CVE-2017-0779</td> <td><a href="https://android.googlesource.com/platform/frameworks/av/+/ff4c8310ab7976ea9930b1dc4e3383720d5b5a8d"> -A-38340117</a> - [<a href="https://android.googlesource.com/platform/frameworks/av/+/b58464fa783c75ba9d304f670a4392df6fa98ed8">2</a>]</td> + A-38340117</a> +[<a href="https://android.googlesource.com/platform/frameworks/av/+/b58464fa783c75ba9d304f670a4392df6fa98ed8">2</a>]</td> <td>ID</td> <td>中</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td> @@ -350,7 +350,7 @@ A-38340117</a> </tbody></table> <h3 id="runtime">ランタイム</h3> -<p>ランタイムに重大な脆弱性があるため、離れた場所にいる攻撃者が特別に細工したファイルを使用して、アプリを異常停止させるおそれがあります。</p> +<p>ランタイムの最も重大な脆弱性により、離れた場所にいる攻撃者が特別に細工したファイルを使用して、アプリを異常停止させるおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -376,7 +376,7 @@ A-38340117</a> </tbody></table> <h3 id="system">システム</h3> -<p>システムに重大な脆弱性があるため、近くにいる攻撃者によって特権プロセス内で任意のコードが実行されるおそれがあります。</p> +<p>システムの最も重大な脆弱性により、近くにいる攻撃者が特権プロセス内で任意のコードを実行するおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -394,8 +394,8 @@ A-38340117</a> <tr> <td>CVE-2017-0781</td> <td><a href="https://android.googlesource.com/platform/system/bt/+/c513a8ff5cfdcc62cc14da354beb1dd22e56be0e"> -A-63146105</a> - [<a href="https://android.googlesource.com/platform/system/bt/+/1e0bb31f6a809b49014483dc118b9d9ad31ade68">2</a>]</td> + A-63146105</a> + [<a href="https://android.googlesource.com/platform/system/bt/+/1e0bb31f6a809b49014483dc118b9d9ad31ade68">2</a>]</td> <td>RCE</td> <td>重大</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td> @@ -403,9 +403,9 @@ A-63146105</a> <tr> <td>CVE-2017-0782</td> <td><a href="https://android.googlesource.com/platform/system/bt/+/4e47f3db62bab524946c46efe04ed6a2b896b150"> -A-63146237</a> - [<a href="https://android.googlesource.com/platform/system/bt/+/1b08775917413f1674882130a948add1ae44cc91">2</a>] - [<a href="https://android.googlesource.com/platform/system/bt/+/c568fa9088ded964e0ac99db236e612de5d82177">3</a>]</td> + A-63146237</a> + [<a href="https://android.googlesource.com/platform/system/bt/+/1b08775917413f1674882130a948add1ae44cc91">2</a>] + [<a href="https://android.googlesource.com/platform/system/bt/+/c568fa9088ded964e0ac99db236e612de5d82177">3</a>]</td> <td>RCE</td> <td>重大</td> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td> @@ -436,10 +436,10 @@ A-63146237</a> </tr> </tbody></table> -<h2 id="2017-09-05-details">セキュリティ パッチ レベル 2017-09-05 の脆弱性の詳細</h2> -<p>パッチレベル 2017-09-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。影響を受けるコンポーネントごとに脆弱性を分類し、CVE、関連する参照先、<a href="#type">脆弱性の種類</a>、<a href="/security/overview/updates-resources.html#severity">重大度</a>、コンポーネント(該当する場合)、更新対象の AOSP バージョン(該当する場合)などの詳細を記載しています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。</p> +<h2 id="2017-09-05-details">セキュリティ パッチレベル 2017-09-05 の脆弱性の詳細</h2> +<p>パッチレベル 2017-09-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。影響を受けるコンポーネントごとに脆弱性を分類し、CVE、関連する参照先、<a href="#type">脆弱性のタイプ</a>、<a href="/security/overview/updates-resources.html#severity">重大度</a>、コンポーネント(該当する場合)、更新対象の AOSP バージョン(該当する場合)などの詳細を記載しています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。</p> <h3 id="broadcom-components">Broadcom コンポーネント</h3> -<p>Broadcom コンポーネントに重大な脆弱性があるため、近くにいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあります。</p> +<p>Broadcom コンポーネントの最も重大な脆弱性により、近くにいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -537,7 +537,7 @@ A-63146237</a> </tbody></table> <h3 id="imgtk-components">Imgtk コンポーネント</h3> -<p>Imgtk コンポーネントに重大な脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。</p> +<p>Imgtk コンポーネントの最も重大な脆弱性により、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -562,7 +562,7 @@ A-63146237</a> </tbody></table> <h3 id="kernel-components">カーネル コンポーネント</h3> -<p>カーネル コンポーネントに重大な脆弱性があるため、離れた場所にいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあります。</p> +<p>カーネル コンポーネントの最も重大な脆弱性により、離れた場所にいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -678,7 +678,7 @@ http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=d199fa </tbody></table> <h3 id="mediatek-components">MediaTek コンポーネント</h3> -<p>MediaTek コンポーネントの最も重大な脆弱性は、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあることです。</p> +<p>MediaTek コンポーネントの最も重大な脆弱性により、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -778,7 +778,7 @@ http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=d199fa </tbody></table> <h3 id="qualcomm-components">Qualcomm コンポーネント</h3> -<p>Qualcomm コンポーネントの最も重大な脆弱性は、離れた場所にいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあることです。</p> +<p>Qualcomm コンポーネントの最も重大な脆弱性により、離れた場所にいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -977,7 +977,7 @@ QC-CR#2015892</a></td> </tbody></table> <h2 id="google-device-updates">Google 端末のアップデート</h2> -<p>Google 端末の最新の無線(OTA)アップデートとファームウェア イメージのセキュリティ パッチ レベルについて、次の表に示します。Google 端末の OTA には、追加アップデートが含まれている場合があります。Google 端末のファームウェア イメージは、<a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>で入手できます。</p> +<p>Google 端末の最新の無線(OTA)アップデートとファームウェア イメージのセキュリティ パッチレベルについて、次の表に示します。Google 端末の OTA には、追加アップデートが含まれている場合があります。Google 端末のファームウェア イメージは、<a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>で入手できます。</p> <aside class="note">Pixel、Pixel XL、Pixel C、Nexus Player、Nexus 5X、Nexus 6P の各端末は、Android Oreo へのアップグレードの一環として 9 月のセキュリティ パッチを受け取るようになっています。</aside> <table> <tbody><tr> @@ -1117,7 +1117,7 @@ QC-CR#2015892</a></td> </tr> <tr> <td>CVE-2017-0767</td> - <td><a href="http://xlab.tencent.com">Tencent Xuanwu Lab</a> の Yongke Wang、Yuebin Sun</td> + <td><a href="http://xlab.tencent.com">Tencent の Xuanwu Lab</a> の Yongke Wang、Yuebin Sun</td> </tr> <tr> <td>CVE-2017-0804、CVE-2017-0803、CVE-2017-0799、CVE-2017-0795</td> @@ -1140,8 +1140,8 @@ QC-CR#2015892</a></td> <p>端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。</p> <ul> - <li>セキュリティ パッチ レベル 2017-09-01 以降では、セキュリティ パッチ レベル 2017-09-01 に関連するすべての問題に対処しています。</li> - <li>セキュリティ パッチ レベル 2017-09-05 以降では、セキュリティ パッチ レベル 2017-09-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。 + <li>セキュリティ パッチレベル 2017-09-01 以降では、セキュリティ パッチレベル 2017-09-01 に関連するすべての問題に対処しています。</li> + <li>セキュリティ パッチレベル 2017-09-05 以降では、セキュリティ パッチレベル 2017-09-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。 </li> </ul> <p>このアップデートを組み込んだ端末メーカーは、パッチレベル文字列を以下に設定する必要があります。</p> @@ -1151,10 +1151,10 @@ QC-CR#2015892</a></td> </ul> <p><strong>2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?</strong></p> -<p>この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。</p> +<p>この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。</p> <ul> - <li>セキュリティ パッチ レベル 2017-09-01 を使用する端末には、そのセキュリティ パッチ レベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。</li> - <li>2017-09-05 以降のセキュリティ パッチ レベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。</li> + <li>セキュリティ パッチレベル 2017-09-01 を使用する端末には、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。</li> + <li>2017-09-05 以降のセキュリティ パッチレベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。</li> </ul> <p>パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。</p> |