diff options
Diffstat (limited to 'ja/security/bulletin/2018-01-01.html')
-rw-r--r-- | ja/security/bulletin/2018-01-01.html | 295 |
1 files changed, 156 insertions, 139 deletions
diff --git a/ja/security/bulletin/2018-01-01.html b/ja/security/bulletin/2018-01-01.html index d4901572..4db7eee4 100644 --- a/ja/security/bulletin/2018-01-01.html +++ b/ja/security/bulletin/2018-01-01.html @@ -19,14 +19,13 @@ See the License for the specific language governing permissions and limitations under the License. --> -<p><em>公開日: 2018 年 1 月 2 日</em></p> +<p><em>2018 年 1 月 2 日公開 | 2018 年 1 月 29 日更新</em></p> <p> Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。セキュリティ パッチレベル 2018-01-05 以降では、下記のすべての問題に対処しています。端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705">Android のバージョンを確認して更新する</a>をご覧ください。 </p> <p> -Android パートナーには、情報公開の少なくとも 1 か月前にすべての問題が通知されます。下記の問題に対するソースコードのパッチは、これから 48 時間の間に Android オープンソース プロジェクト(AOSP)レポジトリにリリースされます。AOSP リンクが利用可能になり次第、この公開情報を改訂します。 -</p> +Android パートナーには、情報公開の 1 か月前までにすべての問題が通知されます。Android オープンソース プロジェクト(AOSP)のレポジトリに、下記の問題に対するソースコードのパッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。</p> <p> 下記の問題のうち最も重大度の高いものは、メディア フレームワークに重大なセキュリティの脆弱性があるため、離れた場所にいる攻撃者が特別に細工したファイルを使用して、特権プロセス内で任意のコードを実行するおそれがあることです。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。 </p> @@ -37,6 +36,14 @@ Android パートナーには、情報公開の少なくとも 1 か月前にす <strong>注:</strong> 最新の無線(OTA)アップデートと Google 端末のファームウェア イメージについての情報は、2018 年 1 月の Pixel&hairsp;/&hairsp;Nexus のセキュリティに関する公開情報でご覧いただけます。 </p> <h2 id="announcements">お知らせ</h2> +<aside class="note"> +<p><strong>注:</strong> CVE-2017-5715、CVE-2017-5753、CVE-2017-5754(プロセッサの投機的実行に関する一連の脆弱性)が公開されています。Android では、ARM ベースの Android 搭載端末において不正な情報開示を可能にするこれらの脆弱性が再現されても認識できません。 +</p> +<p> +保護を強化するには、この公開情報に含まれている CVE-2017-13218 に対するアップデートを適用して、高精度タイマーへのアクセスを減らします。これにより、既知のすべての種類の ARM プロセッサに対するサイドチャネル攻撃(CVE-2017-5715、CVE-2017-5753、CVE-2017-5754 など)を制限することができます。 +</p> +<p>Google では、Android 搭載端末に利用可能なセキュリティ アップデートを適用することをおすすめしています。詳しくは、<a href="https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html">Google セキュリティ ブログ</a>をご覧ください。</p> +</aside> <p> 新たに <a href="/security/bulletin/pixel/">Pixel / Nexus のセキュリティに関する公開情報</a>の提供を開始しました。この公開情報には、Pixel 端末と Nexus 端末で対処されているその他のセキュリティの脆弱性や機能強化についての情報を掲載しています。Android 搭載端末メーカーは、自社の端末でそれらの問題に対処することができます。詳しくは、<a href="#common-questions-and-answers">一般的な質問と回答</a>をご覧ください。 </p> @@ -68,7 +75,8 @@ Android パートナーには、情報公開の少なくとも 1 か月前にす </tr> <tr> <td>CVE-2017-13176</td> - <td>A-68341964</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/4afa0352d6c1046f9e9b67fbf0011bcd751fcbb5"> + A-68341964</a></td> <td>EoP</td> <td>高</td> <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> @@ -92,109 +100,124 @@ Android パートナーには、情報公開の少なくとも 1 か月前にす <th>更新対象の AOSP バージョン</th> </tr> <tr> - <td>CVE-2017-13177</td> - <td>A-68320413</td> - <td>RCE</td> - <td>重大</td> - <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13177</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b686bb2df155fd1f55220d56f38cc0033afe278c"> + A-68320413</a></td> + <td>RCE</td> + <td>重大</td> + <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13178</td> - <td>A-66969281</td> - <td>RCE</td> - <td>重大</td> - <td>6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13178</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/646a18fef28d19ba5beb6a2e1c00ac4c2663a10b"> + A-66969281</a></td> + <td>RCE</td> + <td>重大</td> + <td>6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13179</td> - <td>A-66969193</td> - <td>RCE</td> - <td>重大</td> - <td>6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13179</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/47d4b33b504e14e98420943f771a9aecd6d09516"> + A-66969193</a></td> + <td>RCE</td> + <td>重大</td> + <td>6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13180</td> - <td>A-66969349</td> - <td>EoP</td> - <td>高</td> - <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13180</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/cf1e36f93fc8776e3a8109149424babeee7f8382"> + A-66969349</a></td> + <td>EoP</td> + <td>高</td> + <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13181</td> - <td>A-67864232</td> - <td>EoP</td> - <td>高</td> - <td>7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13181</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d64e9594d3d73c613010ca9fafc7af9782e9225d"> + A-67864232</a></td> + <td>EoP</td> + <td>高</td> + <td>7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13182</td> - <td>A-67737022</td> - <td>EoP</td> - <td>高</td> - <td>8.0、8.1</td> + <td>CVE-2017-13182</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/f1652e1b9f1d2840c79b6bf784d1befe40f4799e"> + A-67737022</a></td> + <td>EoP</td> + <td>高</td> + <td>8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13184</td> - <td>A-65483324</td> - <td>EoP</td> - <td>高</td> - <td>8.0、8.1</td> + <td>CVE-2017-13184</td> + <td><a href="https://android.googlesource.com/platform/frameworks/native/+/16392a119661fd1da750d4d4e8e03442578bc543"> + A-65483324</a></td> + <td>EoP</td> + <td>高</td> + <td>8.0、8.1</td> </tr> <tr> - <td>CVE-2017-0855</td> - <td>A-64452857</td> - <td>DoS</td> - <td>高</td> - <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td> + <td>CVE-2017-0855</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/d7d6df849cec9d0a9c1fd0d9957a1b8edef361b7"> + A-64452857</a></td> + <td>DoS</td> + <td>高</td> + <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0</td> </tr> <tr> - <td>CVE-2017-13191</td> - <td>A-64380403</td> - <td>DoS</td> - <td>高</td> - <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13191</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> + A-64380403</a></td> + <td>DoS</td> + <td>高</td> + <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13192</td> - <td>A-64380202</td> - <td>DoS</td> - <td>高</td> - <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13192</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/52ca619511acbd542d843df1f92f858ce13048a5"> + A-64380202</a></td> + <td>DoS</td> + <td>高</td> + <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13193</td> - <td>A-65718319</td> - <td>DoS</td> - <td>高</td> - <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13193</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/b3f31e493ef6fa886989198da9787807635eaae2"> + A-65718319</a></td> + <td>DoS</td> + <td>高</td> + <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13195</td> - <td>A-65398821</td> - <td>DoS</td> - <td>高</td> - <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13195</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/066e3b1f9c954d95045bc9d33d2cdc9df419784f"> + A-65398821</a></td> + <td>DoS</td> + <td>高</td> + <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13196</td> - <td>A-63522067</td> - <td>DoS</td> - <td>高</td> - <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13196</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/f5b2fa243b4c45a4cd885e85f49ae548ab88c264"> + A-63522067</a></td> + <td>DoS</td> + <td>高</td> + <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13197</td> - <td>A-64784973</td> - <td>DoS</td> - <td>高</td> - <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13197</td> + <td><a href="https://android.googlesource.com/platform/external/libhevc/+/0a714d3a14d256c6a5675d6fbd975ca26e9bc471"> + A-64784973</a></td> + <td>DoS</td> + <td>高</td> + <td>6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13199</td> - <td>A-33846679</td> - <td>DoS</td> - <td>高</td> - <td>8.0、8.1</td> + <td>CVE-2017-13199</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/42b2e419b48a26d2ba599d87e3a2a02c4aa625f4"> + A-33846679</a></td> + <td>DoS</td> + <td>高</td> + <td>8.0、8.1</td> </tr> </tbody></table> @@ -215,32 +238,38 @@ Android パートナーには、情報公開の少なくとも 1 か月前にす <th>更新対象の AOSP バージョン</th> </tr> <tr> - <td>CVE-2017-13208</td> - <td>A-67474440</td> - <td>RCE</td> - <td>重大</td> - <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13208</td> + <td><a href="https://android.googlesource.com/platform/system/core/+/b71335264a7c3629f80b7bf1f87375c75c42d868"> + A-67474440</a></td> + <td>RCE</td> + <td>重大</td> + <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13209</td> - <td>A-68217907</td> - <td>EoP</td> - <td>高</td> - <td>8.0、8.1</td> + <td>CVE-2017-13209</td> + <td><a href="https://android.googlesource.com/platform/system/libhidl/+/a4d0252ab5b6f6cc52a221538e1536c5b55c1fa7"> + A-68217907</a> +[<a href="https://android.googlesource.com/platform/system/tools/hidl/+/8539fc8ac94d5c92ef9df33675844ab294f68d61">2</a>] +[<a href="https://android.googlesource.com/platform/system/hwservicemanager/+/e1b4a889e8b84f5c13b76333d4de90dbe102a0de">3</a>]</td> + <td>EoP</td> + <td>高</td> + <td>8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13210</td> - <td>A-67782345</td> - <td>EoP</td> - <td>高</td> - <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> + <td>CVE-2017-13210</td> + <td><a href="https://android.googlesource.com/platform/system/media/+/e770e378dc8e2320679272234285456ca2244a62"> + A-67782345</a></td> + <td>EoP</td> + <td>高</td> + <td>5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2、8.0、8.1</td> </tr> <tr> - <td>CVE-2017-13211</td> - <td>A-65174158</td> - <td>DoS</td> - <td>高</td> - <td>8.0</td> + <td>CVE-2017-13211</td> + <td><a href="https://android.googlesource.com/platform/system/bt/+/181144a50114c824cfe3cdfd695c11a074673a5e"> + A-65174158</a></td> + <td>DoS</td> + <td>高</td> + <td>8.0</td> </tr> </tbody></table> @@ -274,7 +303,7 @@ Android パートナーには、情報公開の少なくとも 1 か月前にす </tbody></table> <h3 id="kernel-components">カーネル コンポーネント</h3> -<p>カーネル コンポーネントの最も重大な脆弱性は、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあることです。</p> +<p>カーネル コンポーネントに重大な脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。</p> <table> <colgroup><col width="17%" /> @@ -319,7 +348,7 @@ Android パートナーには、情報公開の少なくとも 1 か月前にす <td>A-68266545<a href="#asterisk">*</a></td> <td>ID</td> <td>高</td> - <td>タイマー</td> + <td>高精度タイマー</td> </tr> </tbody></table> @@ -373,32 +402,6 @@ Android パートナーには、情報公開の少なくとも 1 か月前にす </tr> </tbody></table> -<h3 id="mediatek-components">MediaTek コンポーネント</h3> -<p>MediaTek コンポーネントの最も重大な脆弱性は、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあることです。</p> - -<table> - <colgroup><col width="17%" /> - <col width="19%" /> - <col width="9%" /> - <col width="14%" /> - <col width="39%" /> - </colgroup><tbody><tr> - <th>CVE</th> - <th>参照</th> - <th>タイプ</th> - <th>重大度</th> - <th>コンポーネント</th> - </tr> - <tr> - <td>CVE-2017-13225</td> - <td>A-38308024<a href="#asterisk">*</a><br /> - M-ALPS03495789</td> - <td>EoP</td> - <td>高</td> - <td>MTK Media</td> - </tr> -</tbody></table> - <h3 id="nvidia-components">NVIDIA コンポーネント</h3> <p>NVIDIA コンポーネントの最も重大な脆弱性は、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあることです。</p> @@ -550,10 +553,10 @@ QC-CR#2060780</a></td> <li>[ro.build.version.security_patch]:[2018-01-05]</li> </ul> <p> -<strong>2. この公開情報に 2 つのセキュリティ パッチ レベルがあるのはなぜですか?</strong> +<strong>2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?</strong> </p> <p> -この公開情報では、2 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。 +この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。 </p> <ul> <li>2018-01-01 のセキュリティ パッチレベルを使用する端末では、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を含める必要があります。</li> @@ -563,10 +566,10 @@ QC-CR#2060780</a></td> パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。 </p> <p id="type"> -<strong>3. 「タイプ」列の項目はどういう意味ですか?<em></em></strong> +<strong>3. 「タイプ」<em></em>列の項目はどういう意味ですか?</strong> </p> <p> -脆弱性の詳細の表で「タイプ」列に記載した項目は、セキュリティの脆弱性の分類を示しています。<em></em> +脆弱性の詳細の表で「タイプ」<em></em>列に記載した項目は、セキュリティの脆弱性の分類を示しています。 </p> <table> <colgroup><col width="25%" /> @@ -592,15 +595,15 @@ QC-CR#2060780</a></td> <td>サービス拒否</td> </tr> <tr> - <td>N/A</td> + <td>なし</td> <td>該当する分類なし</td> </tr> </tbody></table> <p> -<strong>4. 「参照」列の項目はどういう意味ですか?<em></em></strong> +<strong>4. 「参照」<em></em>列の項目はどういう意味ですか?</strong> </p> <p> -脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属す組織を示す接頭辞を含めている場合があります。<em></em> +脆弱性の詳細の表で「参照」<em></em>列に記載した項目には、その参照番号が属す組織を示す接頭辞を含めている場合があります。 </p> <table> <colgroup><col width="25%" /> @@ -631,10 +634,10 @@ QC-CR#2060780</a></td> </tr> </tbody></table> <p id="asterisk"> -<strong>5. 「参照」列の Android バグ ID の横にある「*」はどういう意味ですか?<em></em></strong> +<strong>5. 「参照」<em></em>列の Android バグ ID の横にある「*」はどういう意味ですか?</strong> </p> <p> -公開されていない問題には、「参照」列の Android バグ ID の横に「*」を付けています。<em></em>この問題のアップデートは、通常、<a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。 +公開されていない問題には、「参照」<em></em>列の Android バグ ID の横に「*」を付けています。この問題のアップデートは、通常、<a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。 </p> <p> <strong>6. セキュリティの脆弱性が、この公開情報と端末やパートナーのセキュリティに関する公開情報(Pixel / Nexus のセキュリティに関する公開情報など)に分けられているのはなぜですか?</strong> @@ -644,9 +647,9 @@ Android 搭載端末の最新のセキュリティ パッチレベルを宣言 </p> <h2 id="versions">バージョン</h2> <table> - <colgroup><col width="25%" /> + <colgroup><col width="15%" /> <col width="25%" /> - <col width="50%" /> + <col width="60%" /> </colgroup><tbody><tr> <th>バージョン</th> <th>日付</th> @@ -657,6 +660,20 @@ Android 搭載端末の最新のセキュリティ パッチレベルを宣言 <td>2018 年 1 月 2 日</td> <td>情報公開</td> </tr> -</tbody></table> + <tr> + <td>1.1</td> + <td>2018 年 1 月 3 日</td> + <td>公開情報を更新し CVE-2017-13218 に関するお知らせを追加</td> + </tr> + <tr> + <td>1.2</td> + <td>2018 年 1 月 5 日</td> + <td>公開情報を改訂し AOSP リンクを追加</td> + </tr> + <tr> + <td>1.3</td> + <td>2018 年 1 月 29 日</td> + <td>CVE-2017-13225 を <a href="/security/bulletin/pixel/">Pixel / Nexus のセキュリティに関する公開情報</a>に移動</td> +</tr></tbody></table> </body></html>
\ No newline at end of file |