diff options
Diffstat (limited to 'ja/security')
-rw-r--r-- | ja/security/bulletin/2016-04-02.html | 1509 | ||||
-rw-r--r-- | ja/security/bulletin/2016-07-01.html | 1370 | ||||
-rw-r--r-- | ja/security/bulletin/2016-12-01.html | 1031 | ||||
-rw-r--r-- | ja/security/bulletin/2017-03-01.html | 1469 | ||||
-rw-r--r-- | ja/security/bulletin/2017-04-01.html | 105 | ||||
-rw-r--r-- | ja/security/bulletin/2017-05-01.html | 65 | ||||
-rw-r--r-- | ja/security/bulletin/2017-06-01.html | 304 |
7 files changed, 2219 insertions, 3634 deletions
diff --git a/ja/security/bulletin/2016-04-02.html b/ja/security/bulletin/2016-04-02.html index a2e81be0..12e334c4 100644 --- a/ja/security/bulletin/2016-04-02.html +++ b/ja/security/bulletin/2016-04-02.html @@ -1,8 +1,7 @@ -<html devsite> - <head> +<html devsite><head> <title>Nexus のセキュリティに関する公開情報 - 2016 年 4 月</title> - <meta name="project_path" value="/_project.yaml" /> - <meta name="book_path" value="/_book.yaml" /> + <meta name="project_path" value="/_project.yaml"/> + <meta name="book_path" value="/_book.yaml"/> </head> <body> <!-- @@ -21,557 +20,342 @@ limitations under the License. --> +<p><em>2016 年 4 月 4 日公開 | 2016 年 12 月 19 日更新</em></p> +<p>Android のセキュリティに関する月例情報公開の一環として、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Nexus ファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a> +にリリースされています。2016 年 4 月 2 日以降のセキュリティ パッチ レベルでは、下記の問題に対処しています(セキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/nexus/answer/4457705">Nexus のドキュメント</a>をご覧ください)。</p> +<p>パートナーには、この公開情報に記載の問題について 2016 年 3 月 16 日までに通知済みです。該当する場合、下記の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)レポジトリにリリースされています。</p> +<p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。</p> + +<p>2016 年 3 月 18 日の <a href="/security/advisory/2016-03-18.html">Android セキュリティ アドバイザリ</a>では、<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a> を利用してルート権限を取得するアプリについて取り上げました。<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a> はこのアップデートで解決されています。新たに見つかった他の問題が実際にユーザーの端末で利用または悪用されたという +報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や SafetyNet のようなサービスの保護について詳しくは、下記の<a href="#mitigations">リスクの軽減</a>をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。</p> -<p><em>2016 年 4 月 4 日公開 | 2016 年 4 月 6 日更新</em></p> -<p>Android のセキュリティに関する月例情報公開の一環として、Nexus 端末に対する -セキュリティ アップデートを無線(OTA)アップデートで配信しました。 -Nexus ファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a> -にリリースされています。 -2016 年 4 月 2 日以降の -セキュリティ パッチ レベルは下記の問題に対処するものです( -セキュリティ パッチ レベルを -確認する方法については、<a href="https://support.google.com/nexus/answer/4457705">Nexus のドキュメント</a>をご覧ください)。</p> -<p>パートナーには、この公開情報に記載の問題について 2016 年 3 月 16 日までに -通知済みです。該当する場合、下記の問題に対するソースコードのパッチは、Android -オープンソース プロジェクト(AOSP)レポジトリにリリースされています。</p> -<p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、 -攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が -可能になるおそれのある重大なセキュリティの脆弱性です。</p> -<p> -2016 年 3 月 18 日の <a href="/security/advisory/2016-03-18.html">Android セキュリティ アドバイザリ</a>では、 -<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a> を利用して -ルート権限を取得するアプリについて取り上げました。<a href="https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-1805">CVE-2015-1805</a> は -このアップデートで解決されています。 -新たに見つかった他の問題が実際にユーザーの端末で利用または悪用されたという -報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や -SafetyNet のようなサービスの -保護(Android プラットフォームのセキュリティを向上させるもの)について詳しくは、 -下記の<a href="#mitigations">リスクの軽減</a>をご覧ください。</p> -<h2 id="security_vulnerability_summary">セキュリティの脆弱性の概要</h2> -<p>下記の表に、セキュリティの脆弱性、共通脆弱性識別子(CVE)、 -およびその重大度の評価の一覧を示します。 -<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、 -攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、 -プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により -無効となっていることを前提としています。</p> -<table> -<tr> -<th>問題</th> -<th>CVE</th> -<th>重大度</th> -</tr> -<tr> -<td>DHCPCD でのリモートコード実行の脆弱性</td> -<td>CVE-2016-1503<br/> - CVE-2014-6060</td> -<td>重大</td> -</tr> -<tr> -<td>メディア コーデックでのリモートコード実行の脆弱性</td> -<td>CVE-2016-0834</td> -<td>重大</td> -</tr> -<tr> -<td>メディアサーバーでのリモートコード実行の脆弱性</td> -<td>CVE-2016-0835<br/> - CVE-2016-0836<br/> - CVE-2016-0837<br/> - CVE-2016-0838<br/> - CVE-2016-0839<br/> - CVE-2016-0840<br/> - CVE-2016-0841</td> -<td>重大</td> -</tr> -<tr> -<td>libstagefright でのリモートコード実行の脆弱性</td> -<td>CVE-2016-0842</td> -<td>重大</td> -</tr> -<tr> -<td>カーネルでの権限昇格の脆弱性</td> -<td>CVE-2015-1805</td> -<td>重大</td> -</tr> -<tr> -<td>Qualcomm パフォーマンス モジュールでの権限昇格の<br/> - 脆弱性</td> -<td>CVE-2016-0843</td> -<td>重大</td> -</tr> -<tr> -<td>Qualcomm RF コンポーネントでの権限昇格の脆弱性</td> -<td>CVE-2016-0844</td> -<td>重大</td> -</tr> -<tr> -<td>カーネルでの権限昇格の脆弱性</td> -<td>CVE-2014-9322</td> -<td>重大</td> -</tr> -<tr> -<td>IMemory ネイティブ インターフェースでの権限昇格の脆弱性</td> -<td>CVE-2016-0846</td> -<td>高</td> -</tr> -<tr> -<td>通信コンポーネントでの権限昇格の脆弱性</td> -<td>CVE-2016-0847</td> -<td>高</td> -</tr> -<tr> -<td>ダウンロード マネージャーでの権限昇格の脆弱性</td> -<td>CVE-2016-0848</td> -<td>高</td> -</tr> -<tr> -<td>リカバリ プロシージャでの権限昇格の脆弱性</td> -<td>CVE-2016-0849</td> -<td>高</td> -</tr> -<tr> -<td>Bluetooth での権限昇格の脆弱性</td> -<td>CVE-2016-0850</td> -<td>高</td> -</tr> -<tr> -<td>Texas Instruments ハプティクス ドライバでの権限昇格の脆弱性</td> -<td>CVE-2016-2409</td> -<td>高</td> -</tr> -<tr> -<td>動画用カーネル ドライバでの権限昇格の脆弱性</td> -<td>CVE-2016-2410</td> -<td>高</td> -</tr> -<tr> -<td>Qualcomm 電源管理コンポーネントでの権限昇格の<br/> -脆弱性</td> -<td>CVE-2016-2411</td> -<td>高</td> -</tr> -<tr> -<td>System_server での権限昇格の脆弱性</td> -<td>CVE-2016-2412</td> -<td>高</td> -</tr> -<tr> -<td>メディアサーバーでの権限昇格の脆弱性</td> -<td>CVE-2016-2413</td> -<td>高</td> -</tr> -<tr> -<td>Minikin でのサービス拒否の脆弱性</td> -<td>CVE-2016-2414</td> -<td>高</td> -</tr> -<tr> -<td>Exchange ActiveSync での情報開示の脆弱性</td> -<td>CVE-2016-2415</td> -<td>高</td> -</tr> -<tr> -<td>メディアサーバーでの情報開示の脆弱性</td> -<td>CVE-2016-2416<br/> - CVE-2016-2417<br/> - CVE-2016-2418<br/> - CVE-2016-2419</td> -<td>高</td> -</tr> -<tr> -<td>Debuggerd コンポーネントでの権限昇格の脆弱性</td> -<td>CVE-2016-2420</td> -<td>中</td> -</tr> -<tr> -<td>セットアップ ウィザードでの権限昇格の脆弱性</td> -<td>CVE-2016-2421</td> -<td>中</td> -</tr> -<tr> -<td>Wi-Fi での権限昇格の脆弱性</td> -<td>CVE-2016-2422</td> -<td>中</td> -</tr> -<tr> -<td>Telephony での権限昇格の脆弱性</td> -<td>CVE-2016-2423</td> -<td>中</td> -</tr> -<tr> -<td>SyncStorageEngine でのサービス拒否の脆弱性</td> -<td>CVE-2016-2424</td> -<td>中</td> -</tr> -<tr> -<td>AOSP メールでの情報開示の脆弱性</td> -<td>CVE-2016-2425</td> -<td>中</td> -</tr> -<tr> -<td>フレームワークでの情報開示の脆弱性</td> -<td>CVE-2016-2426</td> -<td>中</td> -</tr> -<tr> -<td>BouncyCastle での情報開示の脆弱性</td> -<td>CVE-2016-2427</td> -<td>中</td> -</tr> -</table> <h2 id="mitigations">リスクの軽減</h2> -<p>ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。</p> + +<p>ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォーム</a>の保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。</p> + <ul> -<li> Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り -最新バージョンの Android に更新することをおすすめしています。 - </li><li> Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に -監視しており、害を及ぼすおそれのあるアプリが検出されるとインストール前に -ユーザーに警告します。端末のルート権限を取得するツールは、Google Play で禁止 -されています。Google Play 以外からアプリをインストールするユーザーを保護するため、 -「アプリの確認」がデフォルトで有効になっており、ルート権限を取得する既知のアプリに -ついてユーザーに警告します。「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が -悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリが -既にインストールされている場合は、ユーザーに通知して、 -そのアプリの削除を試みます。 - </li><li> Google ハングアウトやメッセンジャーのアプリでは状況を判断し、メディアサーバーなどの -プロセスに自動的にメディアを渡すことはありません。 + <li>Android プラットフォームの最新版での機能強化により、Android 上の多くの問題について悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。 + </li><li> Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しており、害を及ぼすおそれのあるアプリが検出されるとインストール前にユーザーに警告します。端末のルート権限を取得するツールは、Google Play で禁止されています。Google Play 以外からアプリをインストールするユーザーを保護するため、「アプリの確認」がデフォルトで有効になっており、ルート権限を取得する既知のアプリについてユーザーに警告します。「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリが既にインストールされている場合は、ユーザーに通知して、そのアプリの削除を試みます。 + </li><li> Google ハングアウトやメッセンジャーのアプリでは状況を判断し、メディア サーバーなどのプロセスに自動的にメディアを渡すことはありません。 </li></ul> + <h2 id="acknowledgements">謝辞</h2> -<p>Android セキュリティ チームは、調査にご協力くださった下記の皆様に -感謝いたします(敬称略)。</p> + +<p>Android セキュリティ チームは、調査にご協力くださった下記の皆様に感謝いたします(敬称略)。</p> + <ul> -<li> Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: + <li> Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2016-0834、CVE-2016-0841、CVE-2016-0840、CVE-2016-0839、CVE-2016-0838 </li><li> CENSUS S.A. の Anestis Bechtsoudis (<a href="https://twitter.com/anestisb">@anestisb</a>): CVE-2016-0842、CVE-2016-0836、CVE-2016-0835 </li><li> Google Telecom チームの Brad Ebinger、Santos Cordon: CVE-2016-0847 - </li><li> ブラウンシュヴァイク工科大学 <a href="https://www.ibr.cs.tu-bs.de">Institute for - Operating Systems and Computer Networks</a> の Dominik Schürmann: CVE-2016-2425 - </li><li> Qihoo 360 IceSword Lab の - Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、 - <a href="http://weibo.com/jfpan">pjf</a>、Jianqiang Zhao - (<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>): CVE-2016-08444 - </li><li> <a href="https://www.epfl.ch">スイス連邦工科大学 - ローザンヌ校</a>の <a href="mailto:gpiskas@gmail.com">George Piskas</a>: CVE-2016-2426 - </li><li> <a href="http://www.360.com/">Qihoo 360 Technology Co.Ltd</a> の - Guang Gong(龚广)(<a href="https://twitter.com/oldfresher">@oldfresher</a>): CVE-2016-2412、CVE-2016-2416 - </li><li> Google Project Zero の James Forshaw: CVE-2016-2417、CVE-2016-0846 - </li><li> Qihoo 360 IceSword Lab の - ianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、 - <a href="http://weibo.com/jfpan">pjf</a>、Gengjia Chen - (<a href="https://twitter.com/chengjia4574">@chengjia4574</a>): CVE-2016-2410、CVE-2016-2411 - </li><li> Qihoo 360 IceSword Lab の - Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2016-2409 - </li><li> Vertu Corporation LTD の Nancy Wang: CVE-2016-0837 + </li><li> ブラウンシュヴァイク工科大学 <a href="https://www.ibr.cs.tu-bs.de">Institute for Operating Systems and Computer Networks</a> の Dominik Schürmann: CVE-2016-2425 + </li><li>Qihoo 360 IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、<a href="http://weibo.com/jfpan">pjf</a>、Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>): CVE-2016-0844</li><li> <a href="https://www.epfl.ch">スイス連邦工科大学ローザンヌ校</a>の <a href="mailto:gpiskas@gmail.com">George Piskas</a>: CVE-2016-2426</li><li><a href="http://www.360.com/">Qihoo 360 Technology Co., Ltd.</a> の Guang Gong(龚广)(<a href="https://twitter.com/oldfresher">@oldfresher</a>): CVE-2016-2412、CVE-2016-2416</li><li> Google Project Zero の James Forshaw: CVE-2016-2417、CVE-2016-0846 + </li><li>Qihoo 360 IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、<a href="http://weibo.com/jfpan">pjf</a>、Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>): CVE-2016-2410、CVE-2016-2411</li><li>Qihoo 360 IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2016-2409</li><li> Vertu Corporation LTD の Nancy Wang: CVE-2016-0837 </li><li> <a href="mailto:nasim@zamir.ca">Nasim Zamir</a>: CVE-2016-2409 </li><li> Qualcomm Product Security Initiative の Nico Golde(<a href="https://twitter.com/iamnion">@iamnion</a>): CVE-2016-2420、CVE-2016-0849 - </li><li> Trend Micro の Peter Pi - (<a href="https://twitter.com/heisecode">@heisecode</a>): CVE-2016-2418、CVE-2016-2413、CVE-2016-2419 - </li><li> Google 情報セキュリティ チームの Quan Nguyen: CVE-2016-2427 - </li><li> Richard Shupak: CVE-2016-2415 - </li><li> <a href="https://labs.mwrinfosecurity.com/">MWR Labs</a> の Romain Trouvé - (<a href="https://twitter.com/bouuntyyy">@bouuntyyy</a>): CVE-2016-0850 - </li><li> Stuart Henderson: CVE-2016-2422 - </li><li> Android セキュリティ チームの Vishwath Mohan: CVE-2016-2424 + </li><li>Trend Micro の Peter Pi(<a href="https://twitter.com/heisecode">@heisecode</a>): CVE-2016-2418、CVE-2016-2413、CVE-2016-2419</li><li>Richard Shupak: CVE-2016-2415</li><li><a href="https://labs.mwrinfosecurity.com/">MWR Labs</a> の Romain Trouvé: CVE-2016-0850</li><li>Stuart Henderson: CVE-2016-2422</li><li> Android セキュリティ チームの Vishwath Mohan: CVE-2016-2424 </li><li>Alibaba Inc の Weichao Sun (<a href="https://twitter.com/sunblate">@sunblate</a>): CVE-2016-2414 </li><li> Trend Micro Inc. の Wish Wu (<a href="https://twitter.com/wish_wu">@wish_wu</a>): CVE-2016-0843 - </li><li> インディアナ大学ブルーミントン校の - <a href="mailto:luc2yj@gmail.com">Yeonjoon Lee</a> と <a href="mailto:xw7@indiana.edu">Xiaofeng Wang</a>、 - 北京大学の - <a href="mailto:litongxin1991@gmail.com">Tongxin Li</a> と <a href="mailto:hanxinhui@pku.edu.cn">Xinhui Han</a>: CVE-2016-0848 + </li><li> インディアナ大学ブルーミントン校の <a href="mailto:luc2yj@gmail.com">Yeonjoon Lee</a> と <a href="mailto:xw7@indiana.edu">Xiaofeng Wang</a>、北京大学の <a href="mailto:litongxin1991@gmail.com">Tongxin Li</a> と <a href="mailto:hanxinhui@pku.edu.cn">Xinhui Han</a>: CVE-2016-0848 </li></ul> -<p>また、Android セキュリティ チームは、 -CVE-2015-1805 について -ご助力いただいた -<a href="http://c0reteam.org">C0RE Team</a> および <a href="https://www.zimperium.com/">Zimperium</a> の -<a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、<a href="mailto:vancouverdou@gmail.com">Wenke Dou</a>、 -Chiachih Wu -(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Xuxian Jiang の各氏にも感謝いたします。</p> + +<p>また、Android セキュリティ チームは、CVE-2015-1805 についてご助力いただいた <a href="http://c0reteam.org">C0RE Team</a> および <a href="https://www.zimperium.com/">Zimperium</a> の <a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、<a href="mailto:vancouverdou@gmail.com">Wenke Dou</a>、Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Xuxian Jiang の各氏にも感謝いたします。</p> + <h2 id="security_vulnerability_details">セキュリティの脆弱性の詳細</h2> -<p>以下では、上記の<a href="#security_vulnerability_summary">セキュリティの脆弱性の概要</a>で一覧に挙げた -それぞれの項目について、詳しい情報を -提供します。問題の内容、その重大度の根拠を説明し、CVE、関連するバグ、重大度、 -影響を受けるバージョン、報告日を表にまとめています。 -該当する場合は、バグ ID の欄に、その問題に対処した AOSP コミットへのリンクが -あります。1 つのバグに複数の変更が関係する場合は、バグ ID の後に番号を付加して、 -追加の AOSP リファレンスにリンクしています。</p> + +<p>パッチレベル 2016-04-02 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連するバグ、重大度、影響を受けるバージョン、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した AOSP コミットへのリンクがあります。1 つのバグに複数の変更が関係する場合は、バグ ID の後に番号を付加して、追加の AOSP リファレンスにリンクしています。</p> + <h3 id="remote_code_execution_vulnerability_in_dhcpcd">DHCPCD でのリモートコード実行の脆弱性</h3> + <p>DHCP(Dynamic Host Configuration Protocol)サービスに脆弱性があるため、 攻撃者がメモリ破損を引き起こしてリモートでのコード実行につながるおそれが あります。この問題は、DHCP クライアントにおいてリモートでコードが実行される おそれがあるため、重大と見なされています。DHCP サービスは、 サードパーティ製アプリが通常はアクセスできないような権限にアクセスできます。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2014-6060</td> -<td><a href="https://android.googlesource.com/platform/external/dhcpcd/+/38cb7a7feff88d58fb4a565ba7f12cd4469af243"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2014-6060</td> + <td><a href="https://android.googlesource.com/platform/external/dhcpcd/+/38cb7a7feff88d58fb4a565ba7f12cd4469af243"> ANDROID-15268738</a></td> -<td>重大</td> -<td>4.4.4</td> -<td>2014 年 7 月 30 日</td> -</tr> -<tr> -<td>CVE-2014-6060</td> -<td><a href="https://android.googlesource.com/platform/external/dhcpcd/+/de806dfdb6dd3b9dec5d1d23c9029fb300799cf8"> + <td>重大</td> + <td>4.4.4</td> + <td>2014 年 7 月 30 日</td> + </tr> + <tr> + <td>CVE-2014-6060</td> + <td><a href="https://android.googlesource.com/platform/external/dhcpcd/+/de806dfdb6dd3b9dec5d1d23c9029fb300799cf8"> ANDROID-16677003</a></td> -<td>重大</td> -<td>4.4.4</td> -<td>2014 年 7 月 30 日</td> -</tr> -<tr> -<td>CVE-2016-1503</td> -<td><a href="https://android.googlesource.com/platform/external/dhcpcd/+/1390ace71179f04a09c300ee8d0300aa69d9db09"> + <td>重大</td> + <td>4.4.4</td> + <td>2014 年 7 月 30 日</td> + </tr> + <tr> + <td>CVE-2016-1503</td> + <td><a href="https://android.googlesource.com/platform/external/dhcpcd/+/1390ace71179f04a09c300ee8d0300aa69d9db09"> ANDROID-26461634</a></td> -<td>重大</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 1 月 4 日</td> -</tr> -</table> + <td>重大</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 1 月 4 日</td> + </tr> + +</tbody></table> + <h3 id="remote_code_execution_vulnerability_in_media_codec">メディア コーデックでのリモートコード実行の脆弱性</h3> + <p>特別に細工されたファイルについてメディア ファイルやデータをメディアサーバーで 処理する際に、メディアサーバーで使われるメディア コーデックの脆弱性を攻撃者が利用して、 メモリ破壊やリモートでのコード実行が可能になるおそれがあります。</p> + <p>影響を受ける機能はオペレーティング システムの中核部分として提供されているもので、 リモート コンテンツ(特に MMS やブラウザでのメディア再生)によってこうした脆弱性を 攻撃できるようにするアプリが複数あります。</p> + <p>この問題は、メディアサーバーのサービスにおいてリモートでコードが実行される おそれがあるため、重大と見なされています。メディアサーバーの サービスは、音声や動画のストリームにアクセスできる他、サードパーティ製アプリが 通常はアクセスできないような権限にアクセス可能です。</p> <table> -<tr> -<th>CVE</th> -<th>バグ</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0834</td> -<td>ANDROID-26220548*</td> -<td>重大</td> -<td>6.0、6.0.1</td> -<td>2015 年 12 月 16 日</td> -</tr> -</table> -<p>* この問題に対するパッチは AOSP にはありません。アップデートは + <tbody><tr> + <th>CVE</th> + <th>バグ</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0834</td> + <td>ANDROID-26220548*</td> + <td>重大</td> + <td>6.0、6.0.1</td> + <td>2015 年 12 月 16 日</td> + </tr> +</tbody></table> + +<p>* この問題に対するパッチは AOSP にはありません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新 バイナリ ドライバに含まれています。</p> + <h3 id="remote_code_execution_vulnerability_in_mediaserver">メディアサーバーでのリモートコード実行の脆弱性</h3> + <p>特別に細工したメディア ファイルやデータのメディアサーバーでの処理中に、 攻撃者がメディアサーバーの脆弱性を悪用して、メモリ破壊やリモートコード 実行を行えるおそれがあります。</p> + <p>影響を受ける機能はオペレーティング システムの中核部分として提供されているもので、 リモート コンテンツ(特に MMS やブラウザでのメディア再生)によってこうした脆弱性を 攻撃できるようにするアプリが複数あります。</p> + <p>この問題は、メディアサーバーのサービスにおいてリモートでコードが実行される おそれがあるため、重大と見なされています。メディアサーバーの サービスは、音声や動画のストリームにアクセスできる他、サードパーティ製アプリが 通常はアクセスできないような権限にアクセス可能です。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0835</td> -<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/ba604d336b40fd4bde1622f64d67135bdbd61301"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0835</td> + <td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/ba604d336b40fd4bde1622f64d67135bdbd61301"> ANDROID-26070014</a> [<a href="https://android.googlesource.com/platform/external/libmpeg2/+/58a6822d7140137ce957c6d2fc20bae1374186c1">2</a>] </td> -<td>重大</td> -<td>6.0、6.0.1</td> -<td>2015 年 12 月 6 日</td> -</tr> -<tr> -<td>CVE-2016-0836</td> -<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/8b4ed5a23175b7ffa56eea4678db7287f825e985"> + <td>重大</td> + <td>6.0、6.0.1</td> + <td>2015 年 12 月 6 日</td> + </tr> + <tr> + <td>CVE-2016-0836</td> + <td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/8b4ed5a23175b7ffa56eea4678db7287f825e985"> ANDROID-25812590</a></td> -<td>重大</td> -<td>6.0、6.0.1</td> -<td>2015 年 11 月 19 日</td> -</tr> -<tr> -<td>CVE-2016-0837</td> -<td><a href="https://android.googlesource.com/platform/frameworks/av/+/7a282fb64fef25349e9d341f102d9cea3bf75baf"> + <td>重大</td> + <td>6.0、6.0.1</td> + <td>2015 年 11 月 19 日</td> + </tr> + <tr> + <td>CVE-2016-0837</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/7a282fb64fef25349e9d341f102d9cea3bf75baf"> ANDROID-27208621</a></td> -<td>重大</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 2 月 11 日</td> -</tr> -<tr> -<td>CVE-2016-0838</td> -<td><a href="https://android.googlesource.com/platform/external/sonivox/+/3ac044334c3ff6a61cb4238ff3ddaf17c7efcf49"> + <td>重大</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 2 月 11 日</td> + </tr> + <tr> + <td>CVE-2016-0838</td> + <td><a href="https://android.googlesource.com/platform/external/sonivox/+/3ac044334c3ff6a61cb4238ff3ddaf17c7efcf49"> ANDROID-26366256</a> [<a href="https://android.googlesource.com/platform/external/sonivox/+/24d7c408c52143bce7b49de82f3913fd8d1219cf">2</a>]</td> -<td>重大</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>Google 社内</td> -</tr> -<tr> -<td>CVE-2016-0839</td> -<td><a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/ebbb82365172337c6c250c6cac4e326970a9e351"> + <td>重大</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>Google 社内</td> + </tr> + <tr> + <td>CVE-2016-0839</td> + <td><a href="https://android.googlesource.com/platform/hardware/qcom/audio/+/ebbb82365172337c6c250c6cac4e326970a9e351"> ANDROID-25753245</a></td> -<td>重大</td> -<td>6.0、6.0.1</td> -<td>Google 社内</td> -</tr> -<tr> -<td>CVE-2016-0840</td> -<td><a href="https://android.googlesource.com/platform/external/libavc/+/c57fc3703ae2e0d41b1f6580c50015937f2d23c1"> + <td>重大</td> + <td>6.0、6.0.1</td> + <td>Google 社内</td> + </tr> + <tr> + <td>CVE-2016-0840</td> + <td><a href="https://android.googlesource.com/platform/external/libavc/+/c57fc3703ae2e0d41b1f6580c50015937f2d23c1"> ANDROID-26399350</a></td> -<td>重大</td> -<td>6.0、6.0.1</td> -<td>Google 社内</td> -</tr> -<tr> -<td>CVE-2016-0841</td> -<td><a href="https://android.googlesource.com/platform/frameworks/av/+/3097f364237fb552871f7639d37a7afa4563e252"> + <td>重大</td> + <td>6.0、6.0.1</td> + <td>Google 社内</td> + </tr> + <tr> + <td>CVE-2016-0841</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/3097f364237fb552871f7639d37a7afa4563e252"> ANDROID-26040840</a></td> -<td>重大</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>Google 社内</td> -</tr> -</table> + <td>重大</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>Google 社内</td> + </tr> + +</tbody></table> + <h3 id="remote_code_execution_vulnerability_in_libstagefright">libstagefright でのリモートコード実行の脆弱性</h3> + <p>特別に細工されたファイルについてメディア ファイルやデータをメディアサーバーで 処理する際に、libstagefright の脆弱性を攻撃者が利用して、 メモリ破壊やリモートでのコード実行が可能になるおそれがあります。</p> + <p>影響を受ける機能はオペレーティング システムの中核部分として提供されているもので、 リモート コンテンツ(特に MMS やブラウザでのメディア再生)によってこうした脆弱性を 攻撃できるようにするアプリが複数あります。</p> + <p>この問題は、メディアサーバーのサービスにおいてリモートでコードが実行される おそれがあるため、重大と見なされています。メディアサーバーの サービスは、音声や動画のストリームにアクセスできる他、サードパーティ製アプリが 通常はアクセスできないような権限にアクセス可能です。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0842</td> -<td><a href="https://android.googlesource.com/platform/external/libavc/+/943323f1d9d3dd5c2634deb26cbe72343ca6b3db"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0842</td> + <td><a href="https://android.googlesource.com/platform/external/libavc/+/943323f1d9d3dd5c2634deb26cbe72343ca6b3db"> ANDROID-25818142</a></td> -<td>重大</td> -<td>6.0、6.0.1</td> -<td>2015 年 11 月 23 日</td> -</tr> -</table> + <td>重大</td> + <td>6.0、6.0.1</td> + <td>2015 年 11 月 23 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_vulnerability_in_kernel">カーネルでの権限昇格の脆弱性</h3> + <p>カーネルに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって -カーネル内で勝手なコードの実行が可能になるおそれがあります。この問題は、 -ローカルでの端末の永続的な侵害につながるおそれがあり、 -オペレーティング システムの再消去による修復が必要となる可能性があるため、 -重大と見なされています。この問題についての説明は、<a href="/security/advisory/2016-03-18.html">2016 年 3 月 18 日の Android セキュリティ アドバイザリ</a>をご覧ください。</p> +カーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。この問題についての説明は、<a href="/security/advisory/2016-03-18.html">2016 年 3 月 18 日の Android セキュリティ アドバイザリ</a>をご覧ください。</p> + <table> -<tr> -<th>CVE</th> -<th>バグ</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2015-1805</td> -<td>ANDROID-27275324*</td> -<td>重大</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 2 月 19 日</td> -</tr> -</table> -<p>* 次のカーネル バージョンについて、それぞれ AOSP でパッチを入手可能です。 -<a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">3.14</a>、 -<a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">3.10</a>、 -<a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">3.4</a></p> + <tbody><tr> + <th>CVE</th> + <th>バグ</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2015-1805</td> + <td>ANDROID-27275324*</td> + <td>重大</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 2 月 19 日</td> + </tr> +</tbody></table> +<p>* 次のカーネル バージョンについて、それぞれ AOSP でパッチを入手可能です(<a href="https://android.googlesource.com/kernel/common/+/bf010e99c9bc48002f6bfa1ad801a59bf996270f">3.14</a>、<a href="https://android.googlesource.com/kernel/common/+/4a5a45669796c5b4617109182e25b321f9f00beb">3.10</a>、<a href="https://android.googlesource.com/kernel/common/+/f7ebfe91b806501808413c8473a300dff58ddbb5">3.4</a>)。</p> + <h3 id="elevation_of_privilege_vulnerability_in_qualcomm_performance_module">Qualcomm パフォーマンス モジュールでの権限昇格の脆弱性</h3> -<p>Qualcomm の ARM プロセッサ用パフォーマンス イベント マネージャ + +<p>Qualcomm の ARM プロセッサ用パフォーマンス イベント マネージャ コンポーネントに権限昇格の脆弱性があり、カーネル内で悪意のあるローカルアプリが -勝手なコードを実行できるおそれがあります。この問題は、 -ローカルでの端末の永続的な侵害につながるおそれがあり、オペレーティング システムの -再消去による修復が必要となる可能性があるため、重大と -見なされています。</p> +勝手なコードを実行できるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグ</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0843</td> -<td>ANDROID-25801197*</td> -<td>重大</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2015 年 11 月 19 日</td> -</tr> -</table> -<p>* この問題に対するパッチは AOSP にはありません。アップデートは + <tbody><tr> + <th>CVE</th> + <th>バグ</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0843</td> + <td>ANDROID-25801197*</td> + <td>重大</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2015 年 11 月 19 日</td> + </tr> +</tbody></table> + +<p>* この問題に対するパッチは AOSP にはありません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新 バイナリ ドライバに含まれています。</p> + <h3 id="elevation_of_privilege_in_qualcomm_rf_component">Qualcomm RF コンポーネントでの権限昇格の脆弱性</h3> + <p>Qualcomm RF ドライバに脆弱性があるため、悪意のあるローカルアプリにより カーネルにおいて勝手なコードの実行が可能になるおそれが -あります。この問題は、ローカルでの端末の永続的な侵害につながるおそれがあり、 -オペレーティング システムの再消去による修復が必要となる可能性があるため、 -重大と見なされています。</p> +あります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> + <table> -<tr> -<th>CVE</th> -<th>バグ</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0844</td> -<td>ANDROID-26324307*</td> -<td>重大</td> -<td>6.0、6.0.1</td> -<td>2015 年 12 月 25 日</td> -</tr> -</table> -<p>* この問題に対するパッチは、AOSP ではなく -<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.18/commit/?id=90a9da2ea95e86b4f0ff493cd891a11da0ee67aa"> -Linux アップストリームにあります</a>。</p> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0844</td> + <td><a href="https://android.googlesource.com/platform/external/sepolicy/+/57531cacb40682be4b1189c721fd1e7f25bf3786"> + ANDROID-26324307</a>*</td> + <td>重大</td> + <td>6.0、6.0.1</td> + <td>2015 年 12 月 25 日</td> + </tr> +</tbody></table> +<p>* この問題に対する追加パッチは、<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.18/commit/?id=90a9da2ea95e86b4f0ff493cd891a11da0ee67aa">Linux アップストリーム</a>にあります。</p> + <h3 id="elevation_of_privilege_vulnerability_in_kernel12">カーネルでの権限昇格の脆弱性</h3> + <p>一般的なカーネルに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって -カーネル内で勝手なコードの実行が可能になるおそれがあります。この問題は、 -ローカルでの端末の永続的な侵害につながるおそれがあり、 -オペレーティング システムの再消去による修復が必要となる可能性があるため、 -重大と見なされています。</p> +カーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>Severity</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2014-9322</td> -<td><a href="https://android.googlesource.com/kernel/common/+/c22e479e335628ce8766cfbf06e2ba17e8f9a1bb">ANDROID-26927260</a> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>Severity</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2014-9322</td> + <td><a href="https://android.googlesource.com/kernel/common/+/c22e479e335628ce8766cfbf06e2ba17e8f9a1bb">ANDROID-26927260</a> [<a href="https://android.googlesource.com/kernel/common/+/1b627d4e5e61e89b840f77abb3ca6711ad6ffbeb">2</a>] - [<a href="https://android.googlesource.com/kernel/common/+/4c941665c7368a34b146929b31949555e680a4ee">3</a>]<br/> + [<a href="https://android.googlesource.com/kernel/common/+/4c941665c7368a34b146929b31949555e680a4ee">3</a>]<br /> [<a href="https://android.googlesource.com/kernel/common/+/758f0dac9104b46016af98304656a0268ac3e105">4</a>] [<a href="https://android.googlesource.com/kernel/common/+/44d057a37868a60bc2eb6e7d1dcea701f234d56a">5</a>] [<a href="https://android.googlesource.com/kernel/common/+/b9b9f908c8ae82b73b9d75181982028b6bc06c2b">6</a>] @@ -580,143 +364,138 @@ Linux アップストリームにあります</a>。</p> [<a href="https://android.googlesource.com/kernel/common/+/211d59c0034ec9d88690c750ccd6da27f6952dc5">9</a>] [<a href="https://android.googlesource.com/kernel/common/+/c9e31d5a4747e9967ace6d05896c78516c4c0850">10</a>] [<a href="https://android.googlesource.com/kernel/common/+/e01834bfbafd25fd392bf10014451c4e5f34f829">11</a>]</td> -<td>重大</td> -<td>6.0、6.0.1</td> -<td>2015 年 12 月 25 日</td> -</tr> -</table> + <td>重大</td> + <td>6.0、6.0.1</td> + <td>2015 年 12 月 25 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_in_imemory_native_interface"> IMemory ネイティブ インターフェースでの権限昇格の脆弱性</h3> + <p>IMemory ネイティブ インターフェースに権限昇格の脆弱性があるため、 悪意のあるローカルアプリにより、昇格したシステムアプリにおいて -勝手なコードの実行が可能になるおそれがあります。この問題については、サードパーティ製アプリによる -アクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限 -などへの昇格に -このような脆弱性が -利用されるおそれがあるため、重大度が「高」と見なされています。</p> +勝手なコードの実行が可能になるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0846</td> -<td><a href="https://android.googlesource.com/platform/frameworks/native/+/f3199c228aced7858b75a8070b8358c155ae0149"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0846</td> + <td><a href="https://android.googlesource.com/platform/frameworks/native/+/f3199c228aced7858b75a8070b8358c155ae0149"> ANDROID-26877992</a></td> -<td>高</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 1 月 29 日</td> -</tr> -</table> + <td>高</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 1 月 29 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_vulnerability_in_telecom_component"> 通信コンポーネントでの権限昇格の脆弱性</h3> + <p>通信コンポーネントに権限昇格の脆弱性があるため、攻撃者が電話の着信を -任意の番号からのものであるように見せかけることが可能となるおそれがあります。この問題に -ついては、サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や -<a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に -このような -脆弱性が利用される -おそれがあるため、重大度が「高」と見なされています。</p> +任意の番号からのものであるように見せかけることが可能となるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>Severity</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0847</td> -<td><a href="https://android.googlesource.com/platform/packages/services/Telecomm/+/2750faaa1ec819eed9acffea7bd3daf867fda444"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>Severity</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0847</td> + <td><a href="https://android.googlesource.com/platform/packages/services/Telecomm/+/2750faaa1ec819eed9acffea7bd3daf867fda444"> ANDROID-26864502</a> [<a href="https://android.googlesource.com/platform/packages/services/Telephony/+/a294ae5342410431a568126183efe86261668b5d">2</a>] </td> -<td>高</td> -<td>5.0.2、5.1.1、6.0、6.0.1</td> -<td>Google 社内</td> -</tr> -</table> + <td>高</td> + <td>5.0.2、5.1.1、6.0、6.0.1</td> + <td>Google 社内</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_vulnerability_in_download_manager"> ダウンロード マネージャーでの権限昇格の脆弱性</h3> + <p>ダウンロード マネージャーに権限昇格の脆弱性があるため、攻撃者がプライベート ストレージ内の -ファイルに不正にアクセスできるようになるおそれがあります。この問題については、 -サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や -<a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に -このような -脆弱性が利用される -おそれがあるため、重大度が「高」と見なされています。</p> +ファイルに不正にアクセスできるようになるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> + <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0848</td> -<td><a href="https://android.googlesource.com/platform/packages/providers/DownloadProvider/+/bdc831357e7a116bc561d51bf2ddc85ff11c01a9"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0848</td> + <td><a href="https://android.googlesource.com/platform/packages/providers/DownloadProvider/+/bdc831357e7a116bc561d51bf2ddc85ff11c01a9"> ANDROID-26211054</a></td> -<td>高</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2015 年 12 月 14 日</td> -</tr> -</table> + <td>高</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2015 年 12 月 14 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_in_recovery_procedure"> リカバリ プロシージャでの権限昇格の脆弱性</h3> + <p>リカバリ プロシージャに権限昇格の脆弱性があるため、悪意のあるローカルアプリにより、 昇格したシステムアプリにおいて勝手なコードの実行が -可能になるおそれがあります。この問題については、サードパーティ製アプリによるアクセスが -不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に -このような -脆弱性が利用される -おそれがあるため、重大度が「高」と見なされています。</p> +可能になるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0849</td> -<td><a href="https://android.googlesource.com/platform/bootable/recovery/+/28a566f7731b4cb76d2a9ba16d997ac5aeb07dad"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0849</td> + <td><a href="https://android.googlesource.com/platform/bootable/recovery/+/28a566f7731b4cb76d2a9ba16d997ac5aeb07dad"> ANDROID-26960931</a></td> -<td>高</td> -<td>5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 2 月 3 日</td> -</tr> -</table> + <td>高</td> + <td>5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 2 月 3 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_in_bluetooth"> Bluetooth での権限昇格の脆弱性</h3> + <p>Bluetooth に権限昇格の脆弱性があるため、最初のペア設定の際に 信頼できないデバイスと端末のペア設定が可能になるおそれがあります。これは、 インターネット接続など、端末のリソースの不正なアクセスにつながる 可能性があります。この問題については、信頼できないデバイスによるアクセスが不可能となっている 権限への昇格にこうした脆弱性が利用されるおそれがあるため、重大度が「高」と見なされています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-0850</td> -<td><a href="https://android.googlesource.com/platform/external/bluetooth/bluedroid/+/c677ee92595335233eb0e7b59809a1a94e7a678a"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-0850</td> + <td><a href="https://android.googlesource.com/platform/external/bluetooth/bluedroid/+/c677ee92595335233eb0e7b59809a1a94e7a678a"> ANDROID-26551752</a></td> -<td>高</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 1 月 13 日</td> -</tr> -</table> + <td>高</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 1 月 13 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_in_texas_instruments_haptic_driver"> Texas Instruments ハプティクス ドライバでの権限昇格の脆弱性</h3> + <p>Texas Instruments のハプティクス カーネル ドライバに権限昇格の脆弱性があるため、 悪意のあるローカルアプリによりカーネルにおいて勝手なコードの実行が 可能になるおそれがあります。通常、このようなカーネルでの @@ -724,26 +503,28 @@ Texas Instruments ハプティクス ドライバでの権限昇格の脆弱性< 呼び出すことのできるサービスへの攻撃が必要であるため、重大度は「高」と されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグ</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2409</td> -<td>ANDROID-25981545*</td> -<td>高</td> -<td>6.0、6.0.1</td> -<td>2015 年 12 月 25 日</td> -</tr> -</table> -<p>* この問題に対するパッチは AOSP にはありません。アップデートは + <tbody><tr> + <th>CVE</th> + <th>バグ</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2409</td> + <td>ANDROID-25981545*</td> + <td>高</td> + <td>6.0、6.0.1</td> + <td>2015 年 12 月 25 日</td> + </tr> +</tbody></table> +<p>* この問題に対するパッチは AOSP にはありません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新 バイナリ ドライバに含まれています。</p> + <h3 id="elevation_of_privilege_vulnerability_in_qualcomm_video_kernel_driver"> Qualcomm 動画用カーネル ドライバでの権限昇格の脆弱性</h3> + <p>Qualcomm の動画用カーネル ドライバに権限昇格の脆弱性があるため、 悪意のあるローカルアプリによりカーネルにおいて勝手なコードの実行が 可能になるおそれがあります。通常、カーネルでのコード実行の @@ -751,26 +532,28 @@ Qualcomm 動画用カーネル ドライバでの権限昇格の脆弱性</h3> 呼び出すことのできるサービスへの攻撃が必要であるため、重大度は「高」と されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグ</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2410</td> -<td>ANDROID-26291677*</td> -<td>高</td> -<td>6.0、6.0.1</td> -<td>2015 年 12 月 21 日</td> -</tr> -</table> -<p>* この問題に対するパッチは AOSP にはありません。アップデートは + <tbody><tr> + <th>CVE</th> + <th>バグ</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2410</td> + <td>ANDROID-26291677*</td> + <td>高</td> + <td>6.0、6.0.1</td> + <td>2015 年 12 月 21 日</td> + </tr> +</tbody></table> +<p>* この問題に対するパッチは AOSP にはありません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新 バイナリ ドライバに含まれています。</p> + <h3 id="elevation_of_privilege_vulnerability_in_qualcomm_power_management_component"> Qualcomm 電源管理コンポーネントでの権限昇格の脆弱性</h3> + <p>Qualcomm の電源管理用カーネル ドライバに権限昇格の脆弱性があるため、 悪意のあるローカルアプリによりカーネルにおいて勝手なコードの実行が 可能になるおそれがあります。通常、このようなカーネルでの @@ -778,384 +561,378 @@ Qualcomm 電源管理コンポーネントでの権限昇格の脆弱性</h3> 端末への攻撃とルート権限への昇格が必要であるため、重大度は「高」と されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグ</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2411</td> -<td>ANDROID-26866053*</td> -<td>高</td> -<td>6.0、6.0.1</td> -<td>2016 年 1 月 28 日</td> -</tr> -</table> -<p>* この問題に対するパッチは AOSP にはありません。アップデートは + <tbody><tr> + <th>CVE</th> + <th>バグ</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2411</td> + <td>ANDROID-26866053*</td> + <td>高</td> + <td>6.0、6.0.1</td> + <td>2016 年 1 月 28 日</td> + </tr> +</tbody></table> +<p>* この問題に対するパッチは AOSP にはありません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新 バイナリ ドライバに含まれています。</p> + <h3 id="elevation_of_privilege_vulnerability_in_system_server"> System_server での権限昇格の脆弱性</h3> + <p>System_server に権限昇格の脆弱性があるため、悪意のある ローカルアプリにより、昇格したシステムアプリにおいて勝手なコードの -実行が可能になるおそれがあります。この問題については、サードパーティ製アプリによるアクセスが -不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、重大度が「高」と見なされています。</p> +実行が可能になるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2412</td> -<td><a href="https://android.googlesource.com/platform/external/skia/+/b36c23b3e6b0b316075cc43e466d44c62508fcac"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2412</td> + <td><a href="https://android.googlesource.com/platform/external/skia/+/b36c23b3e6b0b316075cc43e466d44c62508fcac"> ANDROID-26593930</a></td> -<td>高</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 1 月 15 日</td> -</tr> -</table> + <td>高</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 1 月 15 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_vulnerability_in_mediaserver"> メディアサーバーでの権限昇格の脆弱性</h3> + <p>メディアサーバーに権限昇格の脆弱性があり、昇格したシステムアプリ内で 悪意のあるローカルアプリが勝手なコードを実行できるおそれが -あります。この問題については、サードパーティ製アプリによるアクセスが不可能となっている -<a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に -このような -脆弱性が利用される -おそれがあるため、重大度が「高」と見なされています。</p> +あります。サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2413</td> -<td><a href="https://android.googlesource.com/platform/frameworks/av/+/25be9ac20db51044e1b09ca67906355e4f328d48"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2413</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/25be9ac20db51044e1b09ca67906355e4f328d48"> ANDROID-26403627</a></td> -<td>高</td> -<td>5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 1 月 5 日</td> -</tr> -</table> + <td>高</td> + <td>5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 1 月 5 日</td> + </tr> +</tbody></table> + <h3 id="denial_of_service_vulnerability_in_minikin">Minikin でのサービス拒否の脆弱性</h3> + <p>Minikin ライブラリにサービス拒否の脆弱性があるため、ローカルの攻撃者が攻撃対象の 端末へのアクセスを一時的にブロックできるようになるおそれがあります。攻撃者によって、 信頼できないフォントが読み込まれて Minikin コンポーネント内でオーバーフローが発生し、 クラッシュにつながる可能性があります。この問題については、サービス拒否が再起動の連続ループに つながるため、重大度が「高」と見なされています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>Severity</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2414</td> -<td><a href="https://android.googlesource.com/platform/frameworks/minikin/+/ca8ac8acdad662230ae37998c6c4091bb39402b6"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>Severity</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2414</td> + <td><a href="https://android.googlesource.com/platform/frameworks/minikin/+/ca8ac8acdad662230ae37998c6c4091bb39402b6"> ANDROID-26413177</a> [<a href="https://android.googlesource.com/platform/frameworks/minikin/+/f4785aa1947b8d22d5b19559ef1ca526d98e0e73">2</a>] </td> -<td>高</td> -<td>5.0.2、5.1.1、6.0、6.0.1</td> -<td>2015 年 11 月 3 日</td> -</tr> -</table> + <td>高</td> + <td>5.0.2、5.1.1、6.0、6.0.1</td> + <td>2015 年 11 月 3 日</td> + </tr> +</tbody></table> + <h3 id="information_disclosure_vulnerability_in_exchange_activesync"> Exchange ActiveSync での情報開示の脆弱性</h3> + <p>Exchange ActiveSync に情報開示の脆弱性があるため、悪意のある ローカルアプリがユーザーの個人情報にアクセスできるようになるおそれがあります。 この問題については、保護されたデータへのリモート アクセスが可能となるため、重大度が「高」と 見なされています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2415</td> -<td><a href="https://android.googlesource.com/platform/packages/apps/Exchange/+/0d1a38b1755efe7ed4e8d7302a24186616bba9b2"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2415</td> + <td><a href="https://android.googlesource.com/platform/packages/apps/Exchange/+/0d1a38b1755efe7ed4e8d7302a24186616bba9b2"> ANDROID-26488455</a></td> -<td>高</td> -<td>5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 1 月 11 日</td> -</tr> -</table> + <td>高</td> + <td>5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 1 月 11 日</td> + </tr> +</tbody></table> + <h3 id="information_disclosure_vulnerability_in_mediaserver">メディアサーバーでの情報開示の脆弱性</h3> + <p>メディアサーバーに情報開示の脆弱性があるため、攻撃者によるプラットフォームの悪用を 防ぐことを目的としたセキュリティ対策が回避できるようになるおそれが -あります。この問題については、サードパーティ製アプリによるアクセスが不可能となっている -<a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に -このような -脆弱性が利用される -おそれがあるため、重大度が「高」と見なされています。</p> +あります。サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2416</td> -<td><a href="https://android.googlesource.com/platform/frameworks/native/+/85d253fab5e2c01bd90990667c6de25c282fc5cd"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2416</td> + <td><a href="https://android.googlesource.com/platform/frameworks/native/+/85d253fab5e2c01bd90990667c6de25c282fc5cd"> ANDROID-27046057</a> [<a href="https://android.googlesource.com/platform/frameworks/native/+/a40b30f5c43726120bfe69d41ff5aeb31fe1d02a">2</a>] </td> -<td>高</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 2 月 5 日</td> -</tr> -<tr> -<td>CVE-2016-2417</td> -<td><a href="https://android.googlesource.com/platform/frameworks/av/+/1171e7c047bf79e7c93342bb6a812c9edd86aa84"> + <td>高</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 2 月 5 日</td> + </tr> + <tr> + <td>CVE-2016-2417</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/1171e7c047bf79e7c93342bb6a812c9edd86aa84"> ANDROID-26914474</a></td> -<td>高</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 2 月 1 日</td> -</tr> -<tr> -<td>CVE-2016-2418</td> -<td><a href="https://android.googlesource.com/platform/frameworks/av/+/8d87321b704cb3f88e8cae668937d001fd63d5e3"> + <td>高</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 2 月 1 日</td> + </tr> + <tr> + <td>CVE-2016-2418</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/8d87321b704cb3f88e8cae668937d001fd63d5e3"> ANDROID-26324358</a></td> -<td>高</td> -<td>6.0、6.0.1</td> -<td>2015 年 12 月 24 日</td> -</tr> -<tr> -<td>CVE-2016-2419</td> -<td><a href="https://android.googlesource.com/platform/frameworks/av/+/5a856f2092f7086aa0fea9ae06b9255befcdcd34"> + <td>高</td> + <td>6.0、6.0.1</td> + <td>2015 年 12 月 24 日</td> + </tr> + <tr> + <td>CVE-2016-2419</td> + <td><a href="https://android.googlesource.com/platform/frameworks/av/+/5a856f2092f7086aa0fea9ae06b9255befcdcd34"> ANDROID-26323455</a></td> -<td>高</td> -<td>6.0、6.0.1</td> -<td>2015 年 12 月 24 日</td> -</tr> -</table> + <td>高</td> + <td>6.0、6.0.1</td> + <td>2015 年 12 月 24 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_vulnerability_in_debuggerd_component"> Debuggerd コンポーネントでの権限昇格の脆弱性</h3> + <p>Debuggerd コンポーネントに権限昇格の脆弱性があるため、悪意のある ローカルアプリが勝手なコードを実行して端末の永続的な侵害に -つながるおそれがあります。その結果、端末はオペレーティング システムの再消去による -修復が必要になる可能性があります。通常、このようなコード実行の +つながるおそれがあります。その結果、オペレーティング システムの再適用による端末の修復が必要になる可能性があります。通常、このようなコード実行の バグは重大と見なされますが、この脆弱性に関しては Android バージョン 4.4.4 でのみ システムからルートへの権限昇格が可能であるため、重要度は 「中」とされています。Android のバージョンが 5.0 以上の場合は、SELinux のルールにより、 こうした攻撃対象のコードへのサードパーティ製アプリのアクセスが阻止されます。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>Severity</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2420</td> -<td><a href="https://android.googlesource.com/platform/system/core/+/669ecc2f5e80ff924fa20ce7445354a7c5bcfd98"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>Severity</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2420</td> + <td><a href="https://android.googlesource.com/platform/system/core/+/669ecc2f5e80ff924fa20ce7445354a7c5bcfd98"> ANDROID-26403620</a> [<a href="https://android.googlesource.com/platform/system/core/+/81df1cc77722000f8d0025c1ab00ced123aa573c">2</a>] </td> -<td>中</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2016 年 1 月 5 日</td> -</tr> -</table> + <td>中</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2016 年 1 月 5 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_vulnerability_in_setup_wizard"> セットアップ ウィザードでの権限昇格の脆弱性</h3> + <p>セットアップ ウィザードに脆弱性があるため、攻撃者が出荷時設定へのリセット保護を 回避して端末にアクセスできるようになるおそれがあります。この問題については、 このような脆弱性を利用すれば端末に実際にアクセスして出荷時設定へのリセット保護を 回避できる可能性があり、攻撃者が端末をリセットしてデータをすべて消去できる ようになるおそれがあるため、重大度が「中」と見なされています。</p> <table> -<tr> -<th>CVE</th> -<th>バグ</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2421</td> -<td>ANDROID-26154410*</td> -<td>中</td> -<td>5.1.1、6.0、6.0.1</td> -<td>Google 社内</td> -</tr> -</table> + <tbody><tr> + <th>CVE</th> + <th>バグ</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2421</td> + <td>ANDROID-26154410*</td> + <td>中</td> + <td>5.1.1、6.0、6.0.1</td> + <td>Google 社内</td> + </tr> +</tbody></table> + <p>* この問題に対するパッチは AOSP にはありません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から 入手できる Nexus 端末用最新バイナリ ドライバに 含まれています。</p> + <h3 id="elevation_of_privilege_in_wi-fi">Wi-Fi での権限昇格の脆弱性</h3> + <p>Wi-Fi に権限昇格の脆弱性があるため、悪意のあるローカルアプリにより、 昇格したシステムアプリにおいて勝手なコードの実行が可能になるおそれが -あります。この問題については、サードパーティ製アプリによるアクセスが不可能となっている -<a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの -昇格に -このような脆弱性が -利用されるおそれがあるため、重大度が「中」と見なされています。</p> +あります。サードパーティ製アプリによるアクセスが不可能となっている <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="http://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「中」と判断されています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2422</td> -<td><a href="https://android.googlesource.com/platform/packages/apps/CertInstaller/+/70dde9870e9450e10418a32206ac1bb30f036b2c"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2422</td> + <td><a href="https://android.googlesource.com/platform/packages/apps/CertInstaller/+/70dde9870e9450e10418a32206ac1bb30f036b2c"> ANDROID-26324357</a></td> -<td>中</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2015 年 12 月 23 日</td> -</tr> -</table> + <td>中</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2015 年 12 月 23 日</td> + </tr> +</tbody></table> + <h3 id="elevation_of_privilege_in_telephony">Telephony での権限昇格の脆弱性</h3> + <p>Telephony に脆弱性があるため、攻撃者が出荷時設定へのリセット保護を回避して 端末にアクセスできるようになるおそれがあります。この問題については、このような脆弱性を 利用すれば端末に実際にアクセスして出荷時設定へのリセット保護を回避できる 可能性があり、攻撃者が端末をリセットしてデータをすべて消去できるようになる おそれがあるため、重大度が「中」と見なされています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2423</td> -<td><a href="https://android.googlesource.com/platform/packages/services/Telecomm/+/a06c9a4aef69ae27b951523cf72bf72412bf48fa"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2423</td> + <td><a href="https://android.googlesource.com/platform/packages/services/Telecomm/+/a06c9a4aef69ae27b951523cf72bf72412bf48fa"> ANDROID-26303187</a></td> -<td>中</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>Google 社内</td> -</tr> -</table> + <td>中</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>Google 社内</td> + </tr> +</tbody></table> + <h3 id="denial_of_service_in_syncstorageengine">SyncStorageEngine でのサービス拒否の脆弱性</h3> + <p>SyncStorageEngine にサービス拒否の脆弱性があるため、悪意のあるローカルアプリによって 再起動ループが引き起こされるおそれがあります。この問題については、このような脆弱性を利用して ローカルで一時的なサービス拒否が引き起こされ、初期状態へのリセットによる修復が必要となる おそれがあるため、重大度が「中」と見なされています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2424</td> -<td><a href="https://android.googlesource.com/platform/frameworks/base/+/d3383d5bfab296ba3adbc121ff8a7b542bde4afb"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2424</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/d3383d5bfab296ba3adbc121ff8a7b542bde4afb"> ANDROID-26513719</a></td> -<td>中</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>Google 社内</td> -</tr> -</table> + <td>中</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>Google 社内</td> + </tr> +</tbody></table> + <h3 id="information_disclosure_vulnerability_in_aosp_mail">AOSP メールでの情報開示の脆弱性</h3> + <p>AOSP メールに情報開示の脆弱性があるため、悪意のあるローカルアプリが ユーザーの個人情報にアクセスできるようになるおそれがあります。この 問題については、こうした脆弱性を利用して「dangerous」権限の不正な取得が可能になる おそれがあるため、重大度が「中」と見なされています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2425</td> -<td><a href="https://android.googlesource.com/platform/packages/apps/UnifiedEmail/+/0d9dfd649bae9c181e3afc5d571903f1eb5dc46f"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2425</td> + <td><a href="https://android.googlesource.com/platform/packages/apps/UnifiedEmail/+/0d9dfd649bae9c181e3afc5d571903f1eb5dc46f"> ANDROID-26989185</a></td> -<td>中</td> -<td>4.4.4、5.1.1、6.0、6.0.1</td> -<td>2016 年 1 月 29 日</td> -</tr> -<tr> -<td>CVE-2016-2425</td> -<td>ANDROID-7154234*</td> -<td>中</td> -<td>5.0.2</td> -<td>2016 年 1 月 29 日</td> -</tr> -</table> + <td>中</td> + <td>4.4.4、5.1.1、6.0、6.0.1</td> + <td>2016 年 1 月 29 日</td> + </tr> + <tr> + <td>CVE-2016-2425</td> + <td>ANDROID-7154234*</td> + <td>中</td> + <td>5.0.2</td> + <td>2016 年 1 月 29 日</td> + </tr> +</tbody></table> + <p>* この問題に対するパッチは AOSP にはありません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から 入手できる Nexus 端末用最新バイナリ ドライバに 含まれています。</p> + <h3 id="information_disclosure_vulnerability_in_framework">フレームワークでの情報開示の脆弱性</h3> + <p>フレームワーク コンポーネントに情報開示の脆弱性があるため、アプリが 機密情報にアクセスできるようになるおそれがあります。この問題については、こうした脆弱性を 利用して許可なく不正にデータにアクセスすることが可能になるおそれがあるため、 重大度が「中」と見なされています。</p> <table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>重大度</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2426</td> -<td><a href="https://android.googlesource.com/platform/frameworks/base/+/63363af721650e426db5b0bdfb8b2d4fe36abdb0"> + <tbody><tr> + <th>CVE</th> + <th>バグと AOSP リンク</th> + <th>重大度</th> + <th>更新されたバージョン</th> + <th>報告日</th> + </tr> + <tr> + <td>CVE-2016-2426</td> + <td><a href="https://android.googlesource.com/platform/frameworks/base/+/63363af721650e426db5b0bdfb8b2d4fe36abdb0"> ANDROID-26094635</a></td> -<td>中</td> -<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> -<td>2015 年 12 月 8 日</td> -</tr> -</table> -<h3 id="information_disclosure_vulnerability_in_bouncycastle">BouncyCastle での情報開示の脆弱性</h3> -<p>BouncyCastle に情報開示の脆弱性があるため、認証キーが -漏えいするおそれがあります。この問題については、こうした脆弱性を利用して -端末にインストールされたアプリにより許可なく dangerous レベルのデータや権限の取得が -可能になるおそれがあるため、重大度が「中」と見なされています。</p> -<table> -<tr> -<th>CVE</th> -<th>バグと AOSP リンク</th> -<th>Severity</th> -<th>更新されたバージョン</th> -<th>報告日</th> -</tr> -<tr> -<td>CVE-2016-2427</td> -<td><a href="https://android.googlesource.com/platform/libcore/+/efd369d996fd38c50a50ea0de8f20507253cb6de"> - ANDROID-26234568</a> - [<a href="https://android.googlesource.com/platform/external/bouncycastle/+/b3bddea0f33c0459293c6419569ad151b4a7b44b">2</a>] - </td> -<td>中</td> -<td>5.0.2、5.1.1、6.0、6.0.1</td> -<td>Google 社内</td> -</tr> -</table> + <td>中</td> + <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> + <td>2015 年 12 月 8 日</td> + </tr> +</tbody></table> + <h2 id="common_questions_and_answers">一般的な質問と回答</h2> + <p>上記の公開情報に対する一般的な質問とその回答について、以下で説明します。</p> -<p><strong>1. 使用している端末が上記の問題に対処できるよう更新済みかどうかを確認するには、どうすればよいですか?</strong></p> + +<p><strong>1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか?</strong></p> + <p>上記の問題に対処するアップデートは、セキュリティ パッチ レベルが 2016 年 4 月 2 日以降の ものです(セキュリティ パッチ レベルを 確認する方法については、<a href="https://support.google.com/nexus/answer/4457705">Nexus のドキュメント</a>をご覧ください)。これらのアップデートを 組み込む端末メーカーは、パッチ文字列のレベルを [ro.build.version.security_patch]:[2016-04-02] に 設定する必要があります。</p> + <p><strong>2. このセキュリティ パッチ レベルが 2016 年 4 月 2 日であるのはなぜですか?</strong></p> + <p>通常、月例のセキュリティ アップデートのセキュリティ パッチ レベルは、毎月 1 日に 設定されます。4 月の場合、2016 年 4 月 1 日のセキュリティ パッチ レベルは、 この公開情報に記載された問題のうち CVE-2015-1805(<a href="/security/advisory/2016-03-18.html">2016 年 3 月 18 日の Android セキュリティ アドバイザリ</a>で @@ -1164,11 +941,15 @@ Debuggerd コンポーネントでの権限昇格の脆弱性</h3> 問題が CVE-2015-1805(<a href="/security/advisory/2016-03-18.html">2016 年 3 月 18 日の Android セキュリティ アドバイザリ</a>で 説明)も含めてすべて対処済みである ことを示します。</p> + <h2 id="revisions">改訂</h2> + <ul> -<li> 2016 年 4 月 4 日: 情報公開 - </li><li> 2016 年 4 月 6 日: 公開情報を改訂し AOSP リンクを追加 + <li> 2016 年 4 月 4 日: 情報公開 + </li><li>2016 年 4 月 6 日: 公開情報を改訂し AOSP リンクを追加 + </li><li>2016 年 4 月 7 日: 公開情報を改訂し AOSP リンクを追加 + </li><li>2016 年 7 月 11 日: CVE-2016-2427 の説明を更新 + </li><li>2016 年 8 月 1 日: CVE-2016-2427 の説明を更新</li><li>2016 年 12 月 19 日: 元に戻された CVE-2016-2427 を削除 </li></ul> - </body> -</html> +</body></html>
\ No newline at end of file diff --git a/ja/security/bulletin/2016-07-01.html b/ja/security/bulletin/2016-07-01.html index 635e81cc..a11fb7c0 100644 --- a/ja/security/bulletin/2016-07-01.html +++ b/ja/security/bulletin/2016-07-01.html @@ -1,8 +1,7 @@ -<html devsite> - <head> +<html devsite><head> <title>Android のセキュリティに関する公開情報 - 2016 年 7 月</title> - <meta name="project_path" value="/_project.yaml" /> - <meta name="book_path" value="/_book.yaml" /> + <meta name="project_path" value="/_project.yaml"/> + <meta name="book_path" value="/_book.yaml"/> </head> <body> <!-- @@ -21,388 +20,23 @@ limitations under the License. --> - - <p><em>2016 年 7 月 6 日公開 | 2016 年 7 月 14 日更新</em></p> <p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Nexus ファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>にリリースされています。2016 年 7 月 5 日以降のセキュリティ パッチ レベルでは、この公開情報に掲載しているすべての問題に対処しています。セキュリティ パッチ レベルの確認方法については、こちらの<a href="https://support.google.com/nexus/answer/4457705#nexus_devices">ドキュメント</a>をご覧ください。</p> <p> パートナーには、この公開情報に記載の問題について 2016 年 6 月 6 日までに通知済みです。該当する場合、下記の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)レポジトリにリリースされています。この公開情報には AOSP 以外のパッチへのリンクも掲載しています。</p> -<p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。</p> -<p>この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や SafetyNet のようなサービスの保護について詳しくは、<a href="リスクの軽減">Android と Google サービスでのリスク軽減策</a>をご覧ください。こうした保護は、Android プラットフォームのセキュリティを改善します。</p> +<p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。</p> +<p>この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や SafetyNet のようなサービスの保護について詳しくは、<a href="#mitigations">Android と Google サービスでのリスク軽減策</a>をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。</p> <p>ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。</p> <h2 id="announcements">お知らせ</h2> <ul> <li>この公開情報では、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性を Android パートナーが迅速かつ柔軟に修正できるよう、2 つのセキュリティ パッチ レベル文字列を定義しています。詳しくは、<a href="#common-questions-and-answers">一般的な質問と回答</a>をご覧ください。<ul> <li><strong>2016-07-01</strong>: 部分的に対応したセキュリティ パッチ レベル文字列。このセキュリティ パッチ レベル文字列は、2016-07-01 に関連するすべての問題に対処していることを示します。 - <li><strong>2016-07-05</strong>: 完全に対応したセキュリティ パッチ レベル文字列。このセキュリティ パッチ レベル文字列は、2016-07-01 と 2016-07-05 に関連するすべての問題に対処していることを示します。</li> - </li></ul> + </li><li><strong>2016-07-05</strong>: 完全に対応したセキュリティ パッチ レベル文字列。このセキュリティ パッチ レベル文字列は、2016-07-01 と 2016-07-05 に関連するすべての問題に対処していることを示します。</li> + </ul> </li> <li>サポートされる Nexus 端末には、2016 年 7 月 5 日のセキュリティ パッチ レベルのアップデート 1 件を OTA で配信します。</li> </ul> -<h2 id="security_vulnerability_summary">セキュリティの脆弱性の概要</h2> -<p>下記の表に、セキュリティの脆弱性、共通脆弱性識別子(CVE)、その重大度の評価、Nexus 端末への影響があるかどうかの一覧を示します。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が、開発目的や不正に回避されたために無効にされた場合を前提としています。</p> - -<h3 id="2016-07-01_summary">セキュリティ パッチ レベル 2016-07-01 の脆弱性の概要</h3> -<p> -セキュリティ パッチ レベル 2016-07-01 以降では、下記の問題に対処する必要があります。</p> - -<table> - <col width="55%"> - <col width="20%"> - <col width="13%"> - <col width="12%"> - <tr> - <th>問題</th> - <th>CVE</th> - <th>重大度</th> - <th>Nexus への影響</th> - </tr> - <tr> - <td>メディアサーバーでのリモートコード実行の脆弱性</td> - <td>CVE-2016-2506、CVE-2016-2505、CVE-2016-2507、CVE-2016-2508、 - CVE-2016-3741、CVE-2016-3742、CVE-2016-3743</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>OpenSSL と BoringSSL でのリモートコード実行の脆弱性</td> - <td>CVE-2016-2108</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>Bluetooth でのリモートコード実行の脆弱性</td> - <td>CVE-2016-3744</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>libpng での権限昇格の脆弱性</td> - <td>CVE-2016-3751</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでの権限昇格の脆弱性</td> - <td>CVE-2016-3745、CVE-2016-3746、CVE-2016-3747</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>ソケットでの権限昇格の脆弱性</td> - <td>CVE-2016-3748</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>LockSettingsService での権限昇格の脆弱性</td> - <td>CVE-2016-3749</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>フレームワーク API での権限昇格の脆弱性</td> - <td>CVE-2016-3750</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>ChooserTarget サービスでの権限昇格の脆弱性</td> - <td>CVE-2016-3752</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでの情報開示の脆弱性</td> - <td>CVE-2016-3753</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>OpenSSL での情報開示の脆弱性</td> - <td>CVE-2016-2107</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>メディアサーバーでのサービス拒否の脆弱性</td> - <td>CVE-2016-3754、CVE-2016-3755、CVE-2016-3756</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>libc でのサービス拒否の脆弱性</td> - <td>CVE-2016-3818</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>lsof での権限昇格の脆弱性</td> - <td>CVE-2016-3757</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>DexClassLoader での権限昇格の脆弱性</td> - <td>CVE-2016-3758</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>フレームワーク API での権限昇格の脆弱性</td> - <td>CVE-2016-3759</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Bluetooth での権限昇格の脆弱性</td> - <td>CVE-2016-3760</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>NFC での権限昇格の脆弱性</td> - <td>CVE-2016-3761</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>ソケットでの権限昇格の脆弱性</td> - <td>CVE-2016-3762</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>プロキシの自動設定での情報開示の脆弱性</td> - <td>CVE-2016-3763</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでの情報開示の脆弱性</td> - <td>CVE-2016-3764、CVE-2016-3765</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでのサービス拒否の脆弱性</td> - <td>CVE-2016-3766</td> - <td>中</td> - <td>あり</td> - </tr> -</table> -<p>* サポートされる Nexus 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性による影響を受けません。</p> - - -<h3 id="2016-07-05_summary">セキュリティ パッチ レベル 2016-07-05 の脆弱性の概要</h3> -<p> -セキュリティ パッチ レベル 2016-07-05 以降では、2016-07-01 に関連するすべての問題に加えて、下記の問題に対処する必要があります。</p> - -<table> - <col width="55%"> - <col width="20%"> - <col width="13%"> - <col width="12%"> - <tr> - <th>問題</th> - <th>CVE</th> - <th>重大度</th> - <th>Nexus への影響</th> - </tr> - <tr> - <td>Qualcomm GPU ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-2503、CVE-2016-2067</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek Wi-Fi ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3767</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm パフォーマンス コンポーネントでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3768</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>NVIDIA ビデオドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3769</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3770、CVE-2016-3771、CVE-2016-3772、CVE-2016-3773、CVE-2016-3774</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル ファイル システムでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3775</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>USB ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2015-8816</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm コンポーネントでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2014-9794、CVE-2014-9795、CVE-2015-8892、CVE-2013-7457、CVE-2014-9781、CVE-2014-9786、CVE-2014-9788、CVE-2014-9779、CVE-2014-9780、CVE-2014-9789、CVE-2014-9793、CVE-2014-9782、CVE-2014-9783、CVE-2014-9785、CVE-2014-9787、CVE-2014-9784、CVE-2014-9777、CVE-2014-9778、CVE-2014-9790、CVE-2014-9792、CVE-2014-9797、CVE-2014-9791、CVE-2014-9796、CVE-2014-9800、CVE-2014-9799、CVE-2014-9801、CVE-2014-9802、CVE-2015-8891、CVE-2015-8888、CVE-2015-8889、CVE-2015-8890</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm USB ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-2502</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3792</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm カメラドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-2501</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>NVIDIA カメラドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3793</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek 電源ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3795、CVE-2016-3796</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3797</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ハードウェア センサー ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3798</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ビデオドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3799、CVE-2016-3800</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek GPS ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3801</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル ファイル システムでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3802、CVE-2016-3803</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek 電源管理ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3804、CVE-2016-3805</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ディスプレイ ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3806</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>シリアル周辺機器用インターフェース ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3807、CVE-2016-3808</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm サウンド ドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-2068</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>カーネルでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2014-9803</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>ネットワーク コンポーネントでの情報開示の脆弱性(端末固有)</td> - <td>CVE-2016-3809</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek Wi-Fi ドライバでの情報開示の脆弱性(端末固有)</td> - <td>CVE-2016-3810</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル ビデオドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-3811</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ビデオ コーデック ドライバでの情報開示の脆弱性(端末固有)</td> - <td>CVE-2016-3812</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm USB ドライバでの情報開示の脆弱性(端末固有)</td> - <td>CVE-2016-3813</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>NVIDIA カメラドライバでの情報開示の脆弱性(端末固有)</td> - <td>CVE-2016-3814、CVE-2016-3815</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ディスプレイ ドライバでの情報開示の脆弱性(端末固有)</td> - <td>CVE-2016-3816</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル テレタイプ ドライバでの情報開示の脆弱性(端末固有)</td> - <td>CVE-2016-0723</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm ブートローダーでのサービス拒否の脆弱性(端末固有)</td> - <td>CVE-2014-9798、CVE-2015-8893</td> - <td>中</td> - <td>あり</td> - </tr> -</table> <h2 id="mitigations">Android と Google サービスでのリスク軽減策</h2> <p>ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。</p> @@ -415,11 +49,11 @@ <h2 id="acknowledgements">謝辞</h2> <p>調査に関与された下記の皆様のご協力に感謝いたします。</p> <ul> - <li>Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2016-3756、CVE-2016-3741、CVE-2016-3743、CVE-2016-3742<li>Check Point Software Technologies Ltd. の Adam Donenfeld 他: CVE-2016-2503<li>Google の Adam Powell: CVE-2016-3752<li>Context Information Security の Alex Chapman および Paul Stone: CVE-2016-3763<li><a href="https://www.e2e-assure.com/">e2e-assure</a> の Andy Tyler(<a href="https://twitter.com/ticarpi">@ticarpi</a>): CVE-2016-2457<li>Google Project Zero の Ben Hawkes: CVE-2016-3775<li><a href="http://c0reteam.org">C0RE チーム</a>の Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Yuan-Tsung Lo(<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>)、Xuxian Jiang: CVE-2016-3770、CVE-2016-3771、CVE-2016-3772、CVE-2016-3773、CVE-2016-3774<li>Google の Christopher Tate: CVE-2016-3759<li>Tencent KeenLab(<a href="https://twitter.com/keen_lab">@keen_lab</a>)の Di Shen(<a href="https://twitter.com/returnsme">@returnsme</a>): CVE-2016-3762<li><a href="http://www.360.com">Qihoo 360 Technology Co. Ltd.</a> IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>) および pjf(<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>): CVE-2016-3806、CVE-2016-3816、CVE-2016-3805、CVE-2016-3804、CVE-2016-3767、CVE-2016-3810、CVE-2016-3795、CVE-2016-3796<li>Google Android チームの Greg Kaiser: CVE-2016-3758<li><a href="http://www.360.com">Qihoo 360 Technology Co. Ltd</a>. のモバイル安全チームの Guang Gong(龚广)(<a href="https://twitter.com/oldfresher">@oldfresher</a>): CVE-2016-3764<li><a href="http://www.360.com">Qihoo 360 Technology Co. Ltd</a>. のモバイル安全チームの Hao Chen および Guang Gong: CVE-2016-3792、CVE-2016-3768<li><a href="http://www.cmcm.com">Cheetah Mobile</a> Security Research Lab の Hao Qin: CVE-2016-3754、CVE-2016-3766<li><a href="http://www.360.com">Qihoo 360 Technology Co. Ltd.</a> IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)および pjf(<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>): CVE-2016-3814、CVE-2016-3802、CVE-2016-3769、CVE-2016-3807、CVE-2016-3808<li>Google の Marco Nelissen: CVE-2016-3818<li>Google Project Zero の Mark Brand: CVE-2016-3757<li><a href="https://github.com/michalbednarski">Michał Bednarski</a>: CVE-2016-3750<li><a href="http://c0reteam.org">C0RE チーム</a>の Mingjian Zhou(<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)、Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Xuxian Jiang: CVE-2016-3747、CVE-2016-3746、CVE-2016-3765<li>Alibaba モバイル セキュリティ グループの Peng Xiao、Chengming Yang、Ning You、Chao Yang、Yang Ssong: CVE-2016-3800、CVE-2016-3799、CVE-2016-3801、CVE-2016-3812、CVE-2016-3798<li>Trend Micro の Peter Pi(<a href="https://twitter.com/heisecode">@heisecode</a>): CVE-2016-3793<li>Google の Ricky Wai: CVE-2016-3749<li>Roeland Krak: CVE-2016-3753<li>Scott Bauer(<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2016-3797、CVE-2016-3813、CVE-2016-3815、CVE-2016-2501、CVE-2016-2502<li>Vasily Vasilev: CVE-2016-2507<li>Alibaba Inc. の Weichao Sun(<a href="https://twitter.com/sunblate">@sunblate</a>): CVE-2016-2508、CVE-2016-3755<li>Tencent KeenLab(<a href="https://twitter.com/keen_lab">@keen_lab</a>)の Wen Niu(<a href="https://twitter.com/NWMonster">@NWMonster</a>): CVE-2016-3809<li>Tencent Security Platform Department の Xiling Gong: CVE-2016-3745<li>Chinese Academy of Sciences、Institute of Software の TCA Lab の Yacong Gu: CVE-2016-3761<li>Tencent Xuanwu LAB の Yongke Wang(<a href="https://twitter.com/Rudykewang">@Rudykewang</a>): CVE-2016-2505<li>Tencent Xuanwu LAB の Yongke Wang(<a href="https://twitter.com/Rudykewang">@Rudykewang</a>)および Wei Wei(<a href="https://twitter.com/Danny__Wei">@Danny__Wei</a>): CVE-2016-2506<li>Baidu X-Lab の Yulong Zhang および Tao(Lenx)Wei: CVE-2016-3744</li> -</li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></ul> + <li>Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2016-3756、CVE-2016-3741、CVE-2016-3743、CVE-2016-3742</li><li>Check Point Software Technologies Ltd. の Adam Donenfeld 他: CVE-2016-2503</li><li>Google の Adam Powell: CVE-2016-3752</li><li>Context Information Security の Alex Chapman および Paul Stone: CVE-2016-3763</li><li><a href="https://www.e2e-assure.com/">e2e-assure</a> の Andy Tyler(<a href="https://twitter.com/ticarpi">@ticarpi</a>): CVE-2016-2457</li><li>Google Project Zero の Ben Hawkes: CVE-2016-3775</li><li><a href="http://c0reteam.org">C0RE Team</a> の Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Yuan-Tsung Lo(<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>)、Xuxian Jiang: CVE-2016-3770、CVE-2016-3771、CVE-2016-3772、CVE-2016-3773、CVE-2016-3774</li><li>Google の Christopher Tate: CVE-2016-3759</li><li>Tencent KeenLab(<a href="https://twitter.com/keen_lab">@keen_lab</a>)の Di Shen(<a href="https://twitter.com/returnsme">@returnsme</a>): CVE-2016-3762</li><li><a href="http://www.360.com">Qihoo 360 Technology Co. Ltd.</a> IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、pjf(<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>): CVE-2016-3806、CVE-2016-3816、CVE-2016-3805、CVE-2016-3804、CVE-2016-3767、CVE-2016-3810、CVE-2016-3795、CVE-2016-3796</li><li>Google Android チームの Greg Kaiser: CVE-2016-3758</li><li><a href="http://www.360.com">Qihoo 360 Technology Co. Ltd.</a> Mobile Safe Team の Guang Gong(龚广)(<a href="https://twitter.com/oldfresher">@oldfresher</a>): CVE-2016-3764</li><li><a href="http://www.360.com">Qihoo 360 Technology Co. Ltd.</a> Alpha Team の Hao Chen、Guang Gong: CVE-2016-3792、CVE-2016-3768</li><li><a href="http://www.cmcm.com">Cheetah Mobile</a> Security Research Lab の Hao Qin: CVE-2016-3754、CVE-2016-3766</li><li><a href="http://www.360.com">Qihoo 360 Technology Co. Ltd.</a> IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、pjf(<a href="http://weibo.com/jfpan">weibo.com/jfpan</a>): CVE-2016-3814、CVE-2016-3802、CVE-2016-3769、CVE-2016-3807、CVE-2016-3808</li><li>Google の Marco Nelissen: CVE-2016-3818</li><li>Google Project Zero の Mark Brand: CVE-2016-3757</li><li><a href="https://github.com/michalbednarski">Michał Bednarski</a>: CVE-2016-3750</li><li><a href="http://c0reteam.org">C0RE Team</a> の Mingjian Zhou(<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)、Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Xuxian Jiang: CVE-2016-3747、CVE-2016-3746、CVE-2016-3765</li><li>Alibaba モバイル セキュリティ グループの Peng Xiao、Chengming Yang、Ning You、Chao Yang、Yang Ssong: CVE-2016-3800、CVE-2016-3799、CVE-2016-3801、CVE-2016-3812、CVE-2016-3798</li><li>Trend Micro の Peter Pi(<a href="https://twitter.com/heisecode">@heisecode</a>): CVE-2016-3793</li><li>Google の Ricky Wai: CVE-2016-3749</li><li>Roeland Krak: CVE-2016-3753</li><li>Scott Bauer(<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2016-3797、CVE-2016-3813、CVE-2016-3815、CVE-2016-2501、CVE-2016-2502</li><li>Vasily Vasilev: CVE-2016-2507</li><li>Alibaba Inc. の Weichao Sun(<a href="https://twitter.com/sunblate">@sunblate</a>): CVE-2016-2508、CVE-2016-3755</li><li>Tencent KeenLab(<a href="https://twitter.com/keen_lab">@keen_lab</a>)の Wen Niu(<a href="https://twitter.com/NWMonster">@NWMonster</a>): CVE-2016-3809</li><li>Tencent Security Platform Department の Xiling Gong: CVE-2016-3745</li><li>Chinese Academy of Sciences、Institute of Software の TCA Lab の Yacong Gu: CVE-2016-3761</li><li>Tencent Xuanwu LAB の Yongke Wang(<a href="https://twitter.com/Rudykewang">@Rudykewang</a>): CVE-2016-2505</li><li>Tencent Xuanwu LAB の Yongke Wang(<a href="https://twitter.com/Rudykewang">@Rudykewang</a>)、Wei Wei(<a href="https://twitter.com/Danny__Wei">@Danny__Wei</a>): CVE-2016-2506</li><li>Baidu X-Lab の Yulong Zhang および Tao(Lenx)Wei: CVE-2016-3744</li> +</ul> -<h2 id="2016-07-01_details">セキュリティ パッチ レベル 2016-07-01 のセキュリティの脆弱性の詳細</h2> -<p>上記の<a href="#2016-07-01_summary">セキュリティ パッチ レベル 2016-07-01 の脆弱性の概要</a>で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠を説明し、CVE、参照、重大度、更新された Nexus 端末、更新された AOSP のバージョン(該当する場合)、報告日を表にまとめています。該当する場合は、そのバグ ID の問題に対処した、一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照へのリンクを示します。</p> +<h2 id="2016-07-01-details">セキュリティ パッチ レベル 2016-07-01 のセキュリティの脆弱性の詳細</h2> +<p>パッチレベル 2016-07-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Nexus 端末、更新対象の AOSP のバージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照へのリンクを示します。</p> <h3 id="remote-code-execution-vulnerability-in-mediaserver"> メディアサーバーでのリモートコード実行の脆弱性</h3> @@ -427,13 +61,13 @@ <p>影響を受ける機能はオペレーティング システムの中核部分として提供されており、複数のアプリにおいて、リモート コンテンツ(特に MMS やブラウザでのメディアの再生)によってこの脆弱性が攻撃されるおそれがあります。</p> <table> - <col width="19%"> - <col width="19%"> - <col width="10%"> - <col width="16%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="19%" /> + <col width="10%" /> + <col width="16%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -510,21 +144,20 @@ <td>6.0、6.0.1</td> <td>Google 社内</td> </tr> -</table> - +</tbody></table> -<h3 id="remote-code-execution-vulnerability-in-openssl-&-boringssl"> +<h3 id="remote-code-execution-vulnerability-in-openssl-&-boringssl"> OpenSSL と BoringSSL でのリモートコード実行の脆弱性</h3> <p>OpenSSL と BoringSSL にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。影響を受けたプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は重大と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -542,20 +175,20 @@ OpenSSL と BoringSSL でのリモートコード実行の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 5 月 3 日</td> </tr> -</table> +</tbody></table> <h3 id="remote-code-execution-vulnerability-in-bluetooth"> Bluetooth でのリモートコード実行の脆弱性</h3> <p>Bluetooth にリモートコード実行の脆弱性があるため、近くにいる攻撃者がペア設定の処理中に勝手なコードを実行できるおそれがあります。Bluetooth デバイスの初期化中にリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -572,20 +205,20 @@ Bluetooth でのリモートコード実行の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 3 月 30 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-libpng"> libpng での権限昇格の脆弱性</h3> -<p>libpng に権限昇格の脆弱性があり、昇格したシステムアプリ内で悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。この問題については、サードパーティ製アプリによるアクセスが不可能となっている <a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、重大度は「高」と判断されています。</p> +<p>libpng に権限昇格の脆弱性があり、昇格したシステムアプリ内で悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている <a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -603,20 +236,20 @@ libpng での権限昇格の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2015 年 12 月 3 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-mediaserver"> メディアサーバーでの権限昇格の脆弱性</h3> -<p>メディアサーバーに権限昇格の脆弱性があり、昇格したシステムアプリ内で悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。この問題については、サードパーティ製アプリによるアクセスが不可能となっている <a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格にこのような脆弱性が利用されるおそれがあるため、重大度は「高」と判断されています。</p> +<p>メディアサーバーに権限昇格の脆弱性があり、昇格したシステムアプリ内で悪意のあるローカルアプリが勝手なコードを実行できるおそれがあります。サードパーティ製アプリによるアクセスが不可能となっている <a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signature</a> 権限や <a href="https://developer.android.com/guide/topics/manifest/permission-element.html#plevel">signatureOrSystem</a> 権限などへの昇格に利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -654,20 +287,20 @@ libpng での権限昇格の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 3 月 28 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-sockets"> ソケットでの権限昇格の脆弱性</h3> <p>ソケットに権限昇格の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のシステム呼び出しにアクセスできるおそれがあります。攻撃者がセキュリティ対策を回避してプラットフォームを悪用できるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -685,20 +318,20 @@ libpng での権限昇格の脆弱性</h3> <td>6.0、6.0.1</td> <td>2016 年 4 月 13 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-locksettingsservice"> LockSettingsService での権限昇格の脆弱性</h3> <p>LockSettingsService に権限昇格の脆弱性があるため、悪意のあるアプリによって画面ロックのパスワードがユーザーの許可なく再設定されるおそれがあります。デベロッパーやセキュリティ設定の変更に対するユーザー操作の要件がローカルで回避されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -716,20 +349,20 @@ LockSettingsService での権限昇格の脆弱性</h3> <td>6.0、6.0.1</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-framework-apis"> フレームワーク API での権限昇格の脆弱性</h3> <p>Parcels のフレームワーク API に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、アプリデータを他のアプリから分離するオペレーティング システムの保護が回避されるおそれがあります。アプリがアクセス権限のないデータにアクセスできるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -747,20 +380,20 @@ LockSettingsService での権限昇格の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2015 年 12 月 16 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-choosertarget-service"> ChooserTarget サービスでの権限昇格の脆弱性</h3> <p>ChooserTarget サービスに権限昇格の脆弱性があるため、悪意のあるローカルアプリが別のアプリ内でコードを実行できるおそれがあります。許可を得ずに別のアプリのアクティビティにアクセスできるようになるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -778,20 +411,20 @@ ChooserTarget サービスでの権限昇格の脆弱性</h3> <td>6.0、6.0.1</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <h3 id="information-disclosure-vulnerability-in-mediaserver"> メディアサーバーでの情報開示の脆弱性</h3> <p>メディアサーバーに情報開示の脆弱性があるため、通常は権限をリクエストしたローカルアプリのみがアクセスできる保護されたデータに、リモートの攻撃者がアクセスできるおそれがあります。許可を得ずにデータにアクセスできるようになるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -807,7 +440,7 @@ ChooserTarget サービスでの権限昇格の脆弱性</h3> <td>4.4.4</td> <td>2016 年 2 月 15 日</td> </tr> -</table> +</tbody></table> <p>* サポートされる Nexus 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性による影響を受けません。</p> <h3 id="information-disclosure-vulnerability-in-openssl"> @@ -815,13 +448,13 @@ OpenSSL での情報開示の脆弱性</h3> <p>OpenSSL に情報開示の脆弱性があるため、通常は権限をリクエストしたローカルアプリのみがアクセスできる保護されたデータに、リモートの攻撃者がアクセスできるおそれがあります。許可を得ずにデータにアクセスできるようになるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -837,7 +470,7 @@ OpenSSL での情報開示の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1</td> <td>2016 年 4 月 13 日</td> </tr> -</table> +</tbody></table> <p>* サポートされる Nexus 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性による影響を受けません。</p> <h3 id="denial-of-service-vulnerability-in-mediaserver"> @@ -845,13 +478,13 @@ OpenSSL での情報開示の脆弱性</h3> <p>メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでの一時的なサービス拒否が可能になるため、この問題の重大度は「高」と判断されています</p> <table> - <col width="19%"> - <col width="19%"> - <col width="10%"> - <col width="16%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="19%" /> + <col width="10%" /> + <col width="16%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -890,20 +523,20 @@ OpenSSL での情報開示の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <h3 id="denial-of-service-vulnerability-in-libc"> libc でのサービス拒否の脆弱性</h3> <p>libc にサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否が可能になるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -919,7 +552,7 @@ libc でのサービス拒否の脆弱性</h3> <td>4.4.4</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <p>* サポートされる Nexus 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性による影響を受けません。</p> <h3 id="elevation-of-privilege-vulnerability-in-lsof"> @@ -927,13 +560,13 @@ lsof での権限昇格の脆弱性</h3> <p>lsof に権限昇格の脆弱性があるため、悪意のあるローカルアプリが勝手なコードを実行して端末が永続的に侵害されるおそれがあります。一般的でない手順を手動で行う必要があるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -951,20 +584,20 @@ lsof での権限昇格の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 4 月 11 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-dexclassloader"> DexClassLoader での権限昇格の脆弱性</h3> <p>DexClassLoader に権限昇格の脆弱性があるため、悪意のあるローカルアプリが特権プロセス内で勝手なコードを実行できるおそれがあります。一般的でない手順を手動で行う必要があるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -982,20 +615,20 @@ DexClassLoader での権限昇格の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-framework-apis-2"> フレームワーク API での権限昇格の脆弱性</h3> <p>フレームワーク API に権限昇格の脆弱性があるため、悪意のあるローカルアプリによってバックアップの権限がリクエストされ、すべてのバックアップ データが傍受されるおそれがあります。アプリデータを別のアプリから分離しているオペレーティング システムの保護機能の回避に特定の権限が必要なため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1013,20 +646,20 @@ DexClassLoader での権限昇格の脆弱性</h3> <td>5.0.2、5.1.1、6.0、6.0.1</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-bluetooth"> Bluetooth での権限昇格の脆弱性</h3> <p>Bluetooth コンポーネントに権限昇格の脆弱性があるため、ローカルの攻撃者が、メインユーザー用に保存されている認証済み Bluetooth デバイスを追加できるおそれがあります。ユーザーの明示的な許可を得ずに権限を昇格できるようになるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1045,20 +678,20 @@ Bluetooth での権限昇格の脆弱性</h3> <td>5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 2 月 29 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-nfc"> NFC での権限昇格の脆弱性</h3> <p>NFC に権限昇格の脆弱性があるため、悪意のあるバックグラウンドのローカルアプリからフォアグラウンドのアプリの情報にアクセスできるおそれがあります。ユーザーの明示的な許可を得ずに権限を昇格できるようになるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1076,20 +709,20 @@ NFC での権限昇格の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 4 月 20 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-sockets-2"> ソケットでの権限昇格の脆弱性</h3> <p>ソケットに権限昇格の脆弱性があるため、悪意のあるローカルアプリが一般的でない特定のソケットタイプにアクセスできるおそれがあり、カーネル内での勝手なコードの実行が引き起こされる可能性があります。攻撃者がセキュリティ対策を回避してプラットフォームを悪用できるおそれがあるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1107,20 +740,20 @@ NFC での権限昇格の脆弱性</h3> <td>5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 4 月 21 日</td> </tr> -</table> +</tbody></table> <h3 id="information-disclosure-vulnerability-in-proxy-auto-config"> プロキシの自動設定での情報開示の脆弱性</h3> <p>プロキシの自動設定コンポーネントに情報開示の脆弱性があるため、アプリが機密情報にアクセスできるようになるおそれがあります。許可を得ずにデータにアクセスできるようになるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1138,20 +771,20 @@ NFC での権限昇格の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 3 月 10 日</td> </tr> -</table> +</tbody></table> <h3 id="information-disclosure-vulnerability-in-mediaserver-2"> メディアサーバーでの情報開示の脆弱性</h3> <p>メディアサーバーに情報開示の脆弱性があるため、悪意のあるローカルアプリが機密情報にアクセスできるおそれがあります。許可を得ずにデータにアクセスできるようになるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1179,20 +812,20 @@ NFC での権限昇格の脆弱性</h3> <td>6.0、6.0.1</td> <td>2016 年 4 月 8 日</td> </tr> -</table> +</tbody></table> <h3 id="denial-of-service-vulnerability-in-mediaserver-2"> メディアサーバーでのサービス拒否の脆弱性</h3> <p>メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否が可能になるため、この問題の重大度は「中」と判断されています</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1211,22 +844,22 @@ NFC での権限昇格の脆弱性</h3> <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 4 月 29 日</td> </tr> -</table> +</tbody></table> -<h2 id="2016-07-05_details">セキュリティ パッチ レベル 2016-07-05 の脆弱性の詳細</h2> -<p>上記の<a href="2016-07-05_summary">セキュリティ パッチ レベル 2016-07-05 の脆弱性の概要</a>で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠を説明し、CVE、参照、重大度、更新された Nexus 端末、更新された AOSP のバージョン(該当する場合)、報告日を表にまとめています。該当する場合は、そのバグ ID の問題に対処した、一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照へのリンクを示します。</p> +<h2 id="2016-07-05-details">セキュリティ パッチ レベル 2016-07-05 の脆弱性の詳細</h2> +<p>パッチレベル 2016-07-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Nexus 端末、更新対象の AOSP のバージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照へのリンクを示します。</p> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-gpu-driver"> Qualcomm GPU ドライバでの権限昇格の脆弱性</h3> -<p>Qualcomm GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。</p> +<p>Qualcomm GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1250,20 +883,20 @@ Qualcomm GPU ドライバでの権限昇格の脆弱性</h3> <td>Nexus 5X、Nexus 6、Nexus 6P</td> <td>2016 年 4 月 20 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-mediatek-wi-fi-driver"> MediaTek Wi-Fi ドライバでの権限昇格の脆弱性</h3> -<p>MediaTek Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。</p> +<p>MediaTek Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1273,25 +906,25 @@ MediaTek Wi-Fi ドライバでの権限昇格の脆弱性</h3> <tr> <td>CVE-2016-3767</td> <td>A-28169363* - <br>M-ALPS02689526</td> + <br />M-ALPS02689526</td> <td>重大</td> <td>Android One</td> <td>2016 年 4 月 6 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-performance-component"> Qualcomm パフォーマンス コンポーネントでの権限昇格の脆弱性</h3> -<p>Qualcomm パフォーマンス コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。</p> +<p>Qualcomm パフォーマンス コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1306,20 +939,20 @@ Qualcomm パフォーマンス コンポーネントでの権限昇格の脆弱 <td>Nexus 5、Nexus 6、Nexus 5X、Nexus 6P、Nexus 7(2013)</td> <td>2016 年 4 月 9 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-nvidia-video-driver"> NVIDIA ビデオドライバでの権限昇格の脆弱性</h3> -<p>NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。</p> +<p>NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1328,26 +961,26 @@ NVIDIA ビデオドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3769</td> - <td>A-28376656*<br> + <td>A-28376656*<br /> N-CVE20163769</td> <td>重大</td> <td>Nexus 9</td> <td>2016 年 4 月 18 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-mediatek-drivers-device-specific"> MediaTek ドライバでの権限昇格の脆弱性(端末固有)</h3> -<p>複数の MediaTek ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。</p> +<p>複数の MediaTek ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1356,7 +989,7 @@ MediaTek ドライバでの権限昇格の脆弱性(端末固有)</h3> </tr> <tr> <td>CVE-2016-3770</td> - <td>A-28346752*<br> + <td>A-28346752*<br /> M-ALPS02703102</td> <td>重大</td> <td>Android One</td> @@ -1364,7 +997,7 @@ MediaTek ドライバでの権限昇格の脆弱性(端末固有)</h3> </tr> <tr> <td>CVE-2016-3771</td> - <td>A-29007611*<br> + <td>A-29007611*<br /> M-ALPS02703102</td> <td>重大</td> <td>Android One</td> @@ -1372,7 +1005,7 @@ MediaTek ドライバでの権限昇格の脆弱性(端末固有)</h3> </tr> <tr> <td>CVE-2016-3772</td> - <td>A-29008188*<br> + <td>A-29008188*<br /> M-ALPS02703102</td> <td>重大</td> <td>Android One</td> @@ -1380,7 +1013,7 @@ MediaTek ドライバでの権限昇格の脆弱性(端末固有)</h3> </tr> <tr> <td>CVE-2016-3773</td> - <td>A-29008363*<br> + <td>A-29008363*<br /> M-ALPS02703102</td> <td>重大</td> <td>Android One</td> @@ -1388,26 +1021,26 @@ MediaTek ドライバでの権限昇格の脆弱性(端末固有)</h3> </tr> <tr> <td>CVE-2016-3774</td> - <td>A-29008609*<br> + <td>A-29008609*<br /> M-ALPS02703102</td> <td>重大</td> <td>Android One</td> <td>2016 年 4 月 22 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-kernel-file-system"> カーネル ファイル システムでの権限昇格の脆弱性</h3> -<p>カーネル ファイル システムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。</p> +<p>カーネル ファイル システムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1421,20 +1054,20 @@ MediaTek ドライバでの権限昇格の脆弱性(端末固有)</h3> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus Player、Pixel C</td> <td>2016 年 5 月 4 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-usb-driver"> USB ドライバでの権限昇格の脆弱性</h3> -<p>USB ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があるため、この問題は重大と判断されています。</p> +<p>USB ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1448,21 +1081,20 @@ USB ドライバでの権限昇格の脆弱性</h3> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Nexus Player、Pixel C</td> <td>2016 年 5 月 4 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> -<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-components"> -Qualcomm コンポーネントでの権限昇格の脆弱性</h3> -<p>下記の表に、Qualcomm コンポーネントに影響するセキュリティの脆弱性を示します。影響を受けるコンポーネントには、ブートローダー、カメラドライバ、キャラクタ ドライブ、ネットワーク、サウンド ドライバ、ビデオドライバが含まれます。</p> -<p>このうち、勝手なコードの実行によってローカル端末の永久的な侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性がある問題について、重大度が最も高い「重大」と判断されています。</p> +<h3 id="elevation-of-privilege-vulnerability-in-qualcomm-components">Qualcomm コンポーネントでの権限昇格の脆弱性</h3> +<p>下記の表に、Qualcomm コンポーネントに影響するセキュリティの脆弱性を示します。影響を受けるおそれのあるコンポーネントには、ブートローダー、カメラドライバ、キャラクタ ドライバ、ネットワーク、サウンド ドライバ、ビデオドライバなどがあります。</p> +<p>このうち、恣意的にコードが実行されるおそれのある問題について、重大度が最も高い「重大」と判断されています。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があります。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度*</th> @@ -1471,7 +1103,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9795</td> - <td>A-28820720<br> + <td>A-28820720<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=ce2a0ea1f14298abc83729f3a095adab43342342">QC-CR681957</a> [<a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=fc3b31f81a1c128c2bcc745564a075022cd72a2e">2</a>] </td> @@ -1481,7 +1113,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9794</td> - <td>A-28821172<br> + <td>A-28821172<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=f39085971c8c4e36cadbf8a72aabe6c7ff538ffa">QC-CR646385</a> </td> <td>重大</td> @@ -1490,7 +1122,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2015-8892</td> - <td>A-28822807<br> + <td>A-28822807<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=fae606b9dd92c021e2419369975264f24f60db23">QC-CR902998</a> </td> <td>重大</td> @@ -1499,8 +1131,8 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9781</td> - <td>A-28410333<br> - <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/drivers/video/?h=LA.BF.1.1.3_rb1.12&id=a2b5237ad265ec634489c8b296d870827b2a1b13&context=20&ignorews=0&dt=0">QC-CR556471</a> + <td>A-28410333<br /> + <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/drivers/video/?h=LA.BF.1.1.3_rb1.12&id=a2b5237ad265ec634489c8b296d870827b2a1b13&context=20&ignorews=0&dt=0">QC-CR556471</a> </td> <td>高</td> <td>Nexus 7(2013)</td> @@ -1508,7 +1140,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9786</td> - <td>A-28557260<br> + <td>A-28557260<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/patch/?id=2fb303d9c6ca080f253b10ed9384293ca69ad32b">QC-CR545979</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1516,7 +1148,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9788</td> - <td>A-28573112<br> + <td>A-28573112<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=73bfc22aa70cc0b7e6709381125a0a42aa72a4f2">QC-CR548872</a></td> <td>高</td> <td>Nexus 5</td> @@ -1524,15 +1156,15 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9779</td> - <td>A-28598347<br> - <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/arch/arm/mach-msm/qdsp6v2/msm_audio_ion.c?h=LA.BF.1.1.3_rb1.12&id=0b5f49b360afdebf8ef55df1e48ec141b3629621">QC-CR548679</a></td> + <td>A-28598347<br /> + <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/arch/arm/mach-msm/qdsp6v2/msm_audio_ion.c?h=LA.BF.1.1.3_rb1.12&id=0b5f49b360afdebf8ef55df1e48ec141b3629621">QC-CR548679</a></td> <td>高</td> <td>Nexus 5</td> <td>2014 年 3 月 13 日</td> </tr> <tr> <td>CVE-2014-9780</td> - <td>A-28602014<br> + <td>A-28602014<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/msm-3.10/commit/?id=b5bb13e1f738f90df11e0c17f843c73999a84a54">QC-CR542222</a></td> <td>高</td> <td>Nexus 5、Nexus 5X、Nexus 6P</td> @@ -1540,7 +1172,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9789</td> - <td>A-28749392<br> + <td>A-28749392<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=5720ed5c3a786e3ba0a2428ac45da5d7ec996b4e">QC-CR556425</a></td> <td>高</td> <td>Nexus 5</td> @@ -1548,7 +1180,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9793</td> - <td>A-28821253<br> + <td>A-28821253<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=0dcccecc4a6a9a9b3314cb87b2be8b52df1b7a81">QC-CR580567</a></td> <td>高</td> <td>Nexus 7(2013)</td> @@ -1556,7 +1188,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9782</td> - <td>A-28431531<br> + <td>A-28431531<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/patch/?id=2e57a46ab2ba7299d99d9cdc1382bd1e612963fb">QC-CR511349</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1564,7 +1196,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9783</td> - <td>A-28441831<br> + <td>A-28441831<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=2b1050b49a9a5f7bb57006648d145e001a3eaa8b">QC-CR511382</a> [<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=a7502f4f801bb95bff73617309835bb7a016cde5">2</a>]</td> <td>高</td> @@ -1573,7 +1205,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9785</td> - <td>A-28469042<br> + <td>A-28469042<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=b4338420db61f029ca6713a89c41b3a5852b20ce">QC-CR545747</a></td> <td>高</td> <td>Nexus 7(2013)</td> @@ -1581,7 +1213,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9787</td> - <td>A-28571496<br> + <td>A-28571496<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=528400ae4cba715f6c9ff4a2657dafd913f30b8b">QC-CR545764</a></td> <td>高</td> <td>Nexus 7(2013)</td> @@ -1589,7 +1221,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9784</td> - <td>A-28442449<br> + <td>A-28442449<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=36503d639cedcc73880974ed92132247576e72ba">QC-CR585147</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1597,7 +1229,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9777</td> - <td>A-28598501<br> + <td>A-28598501<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=17bfaf64ad503d2e6607d2d3e0956f25bf07eb43">QC-CR563654</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1605,7 +1237,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9778</td> - <td>A-28598515<br> + <td>A-28598515<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?id=af85054aa6a1bcd38be2354921f2f80aef1440e5">QC-CR563694</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1613,16 +1245,16 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9790</td> - <td>A-28769136<br> - <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?h=LA.BF.1.1.3_rb1.12&id=6ed921bda8cbb505e8654dfc1095185b0bccc38e">QC-CR545716</a> - [<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit?h=LA.BF.1.1.3_rb1.12&id=9bc30c0d1832f7dd5b6fa10d5e48a29025176569">2</a>]</td> + <td>A-28769136<br /> + <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?h=LA.BF.1.1.3_rb1.12&id=6ed921bda8cbb505e8654dfc1095185b0bccc38e">QC-CR545716</a> + [<a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit?h=LA.BF.1.1.3_rb1.12&id=9bc30c0d1832f7dd5b6fa10d5e48a29025176569">2</a>]</td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> <td>2014 年 4 月 30 日</td> </tr> <tr> <td>CVE-2014-9792</td> - <td>A-28769399<br> + <td>A-28769399<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?id=a3e3dd9fc0a2699ae053ffd3efb52cdc73ad94cd">QC-CR550606</a></td> <td>高</td> <td>Nexus 5</td> @@ -1630,7 +1262,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9797</td> - <td>A-28821090<br> + <td>A-28821090<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=3312737f3e1ec84dd67ee0622c7dd031083f71a4">QC-CR674071</a></td> <td>高</td> <td>Nexus 5</td> @@ -1638,15 +1270,15 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9791</td> - <td>A-28803396<br> - <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?h=LA.BF.1.1.3_rb1.12&id=9aabfc9e7775abbbcf534cdecccc4f12ee423b27">QC-CR659364</a></td> + <td>A-28803396<br /> + <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm/commit/?h=LA.BF.1.1.3_rb1.12&id=9aabfc9e7775abbbcf534cdecccc4f12ee423b27">QC-CR659364</a></td> <td>高</td> <td>Nexus 7(2013)</td> <td>2014 年 8 月 29 日</td> </tr> <tr> <td>CVE-2014-9796</td> - <td>A-28820722<br> + <td>A-28820722<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=2e21b3a57cac7fb876bcf43244d7cc3dc1f6030d">QC-CR684756</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1654,7 +1286,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9800</td> - <td>A-28822150<br> + <td>A-28822150<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=6390f200d966dc13cf61bb5abbe3110447ca82b5">QC-CR692478</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1662,7 +1294,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9799</td> - <td>A-28821731<br> + <td>A-28821731<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=c2119f1fba46f3b6e153aa018f15ee46fe6d5b76">QC-CR691916</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1670,7 +1302,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9801</td> - <td>A-28822060<br> + <td>A-28822060<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=cf8f5a105bafda906ccb7f149d1a5b8564ce20c0">QC-CR705078</a></td> <td>高</td> <td>Nexus 5</td> @@ -1678,7 +1310,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9802</td> - <td>A-28821965<br> + <td>A-28821965<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=222e0ec9bc755bfeaa74f9a0052b7c709a4ad054">QC-CR705108</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1686,7 +1318,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2015-8891</td> - <td>A-28842418<br> + <td>A-28842418<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=4f829bb52d0338c87bc6fbd0414b258f55cc7c62">QC-CR813930</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> @@ -1694,7 +1326,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2015-8888</td> - <td>A-28822465<br> + <td>A-28822465<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=1321f34f1ebcff61ad7e65e507cfd3e9028af19b">QC-CR813933</a></td> <td>高</td> <td>Nexus 5</td> @@ -1702,7 +1334,7 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2015-8889</td> - <td>A-28822677<br> + <td>A-28822677<br /> <a href="https://us.codeaurora.org/cgit/quic/la/kernel/lk/commit/?id=fa774e023554427ee14d7a49181e9d4afbec035e">QC-CR804067</a></td> <td>高</td> <td>Nexus 6P</td> @@ -1710,13 +1342,13 @@ Qualcomm コンポーネントでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2015-8890</td> - <td>A-28822878<br> + <td>A-28822878<br /> <a href="https://us.codeaurora.org/cgit/quic/la//kernel/lk/commit/?id=e22aca36da2bb6f5016f3c885eb8c8ff85c115e4">QC-CR823461</a></td> <td>高</td> <td>Nexus 5、Nexus 7(2013)</td> <td>2015 年 8 月 19 日</td> </tr> -</table> +</tbody></table> <p>* この一連の問題の重大度は Qualcomm から直接提供されたものです。</p> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-usb-driver"> @@ -1724,12 +1356,12 @@ Qualcomm USB ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm USB ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1744,19 +1376,19 @@ Qualcomm USB ドライバでの権限昇格の脆弱性</h3> <td>Nexus 5X、Nexus 6P</td> <td>2016 年 3 月 11 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-wi-fi-driver"> Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリにより、カーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1771,19 +1403,19 @@ Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性</h3> <td>Nexus 7(2013)</td> <td>2016 年 3 月 17 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-camera-driver"> Qualcomm カメラドライバでの権限昇格の脆弱性</h3> <p>Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1798,7 +1430,7 @@ Qualcomm カメラドライバでの権限昇格の脆弱性</h3> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)</td> <td>2016 年 3 月 27 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-nvidia-camera-driver"> @@ -1806,12 +1438,12 @@ NVIDIA カメラドライバでの権限昇格の脆弱性</h3> <p>NVIDIA カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1820,13 +1452,13 @@ NVIDIA カメラドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3793</td> - <td>A-28026625*<br> + <td>A-28026625*<br /> N-CVE20163793</td> <td>高</td> <td>Nexus 9</td> <td>2016 年 4 月 5 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-mediatek-power-driver"> @@ -1834,12 +1466,12 @@ MediaTek 電源ドライバでの権限昇格の脆弱性</h3> <p>MediaTek 電源ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1848,7 +1480,7 @@ MediaTek 電源ドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3795</td> - <td>A-28085222*<br> + <td>A-28085222*<br /> M-ALPS02677244</td> <td>高</td> <td>Android One</td> @@ -1856,13 +1488,13 @@ MediaTek 電源ドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3796</td> - <td>A-29008443*<br> + <td>A-29008443*<br /> M-ALPS02677244</td> <td>高</td> <td>Android One</td> <td>2016 年 4 月 7 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-wi-fi-driver-2"> @@ -1870,12 +1502,12 @@ Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリにより、カーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1890,7 +1522,7 @@ Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性</h3> <td>Nexus 5X</td> <td>2016 年 4 月 7 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-mediatek-hardware-sensor-driver"> @@ -1898,12 +1530,12 @@ MediaTek ハードウェア センサー ドライバでの権限昇格の脆弱 <p>MediaTek ハードウェア センサー ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1912,13 +1544,13 @@ MediaTek ハードウェア センサー ドライバでの権限昇格の脆弱 </tr> <tr> <td>CVE-2016-3798</td> - <td>A-28174490*<br> + <td>A-28174490*<br /> M-ALPS02703105</td> <td>高</td> <td>Android One</td> <td>2016 年 4 月 11 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-mediatek-video-driver"> @@ -1926,12 +1558,12 @@ MediaTek ビデオドライバでの権限昇格の脆弱性</h3> <p>MediaTek ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1940,7 +1572,7 @@ MediaTek ビデオドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3799</td> - <td>A-28175025*<br> + <td>A-28175025*<br /> M-ALPS02693738</td> <td>高</td> <td>Android One</td> @@ -1948,13 +1580,13 @@ MediaTek ビデオドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3800</td> - <td>A-28175027*<br> + <td>A-28175027*<br /> M-ALPS02693739</td> <td>高</td> <td>Android One</td> <td>2016 年 4 月 11 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-mediatek-gps-driver"> @@ -1962,12 +1594,12 @@ MediaTek GPS ドライバでの権限昇格の脆弱性</h3> <p>MediaTek GPS ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1976,13 +1608,13 @@ MediaTek GPS ドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3801</td> - <td>A-28174914*<br> + <td>A-28174914*<br /> M-ALPS02688853</td> <td>高</td> <td>Android One</td> <td>2016 年 4 月 11 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-kernel-file-system-2"> @@ -1990,12 +1622,12 @@ MediaTek GPS ドライバでの権限昇格の脆弱性</h3> <p>カーネル ファイル システムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2016,7 +1648,7 @@ MediaTek GPS ドライバでの権限昇格の脆弱性</h3> <td>Nexus 5X、Nexus 6P</td> <td>2016 年 5 月 4 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-mediatek-power-management-driver"> @@ -2024,12 +1656,12 @@ MediaTek 電源管理ドライバでの権限昇格の脆弱性</h3> <p>MediaTek 電源管理ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2038,7 +1670,7 @@ MediaTek 電源管理ドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3804</td> - <td>A-28332766*<br> + <td>A-28332766*<br /> M-ALPS02694410</td> <td>高</td> <td>Android One</td> @@ -2046,13 +1678,13 @@ MediaTek 電源管理ドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3805</td> - <td>A-28333002*<br> + <td>A-28333002*<br /> M-ALPS02694412</td> <td>高</td> <td>Android One</td> <td>2016 年 4 月 21 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-mediatek-display-driver"> @@ -2060,12 +1692,12 @@ MediaTek ディスプレイ ドライバでの権限昇格の脆弱性</h3> <p>MediaTek ディスプレイ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2074,13 +1706,13 @@ MediaTek ディスプレイ ドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2016-3806</td> - <td>A-28402341*<br> + <td>A-28402341*<br /> M-ALPS02715341</td> <td>高</td> <td>Android One</td> <td>2016 年 4 月 26 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-serial-peripheral-interface-driver"> @@ -2088,12 +1720,12 @@ MediaTek ディスプレイ ドライバでの権限昇格の脆弱性</h3> <p>シリアル周辺機器用インターフェース ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2114,7 +1746,7 @@ MediaTek ディスプレイ ドライバでの権限昇格の脆弱性</h3> <td>Pixel C</td> <td>2016 年 4 月 26 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-qualcomm-sound-driver"> @@ -2122,12 +1754,12 @@ Qualcomm サウンド ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm サウンド ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2137,24 +1769,24 @@ Qualcomm サウンド ドライバでの権限昇格の脆弱性</h3> <tr> <td>CVE-2016-2068</td> <td>A-28470967 - <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?h=APSS.FSM.3.0&id=01ee86da5a0cd788f134e360e2be517ef52b6b00">QC-CR1006609</a></td> + <a href="https://us.codeaurora.org/cgit/quic/la/kernel/msm-3.10/commit/?h=APSS.FSM.3.0&id=01ee86da5a0cd788f134e360e2be517ef52b6b00">QC-CR1006609</a></td> <td>高</td> <td>Nexus 5、Nexus 5X、Nexus 6、Nexus 6P</td> <td>2016 年 4 月 28 日</td> </tr> -</table> +</tbody></table> <h3 id="elevation-of-privilege-vulnerability-in-kernel"> カーネルでの権限昇格の脆弱性</h3> <p>カーネルに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2163,26 +1795,26 @@ Qualcomm サウンド ドライバでの権限昇格の脆弱性</h3> </tr> <tr> <td>CVE-2014-9803</td> - <td>A-28557020<br> - <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/arch/arm64/include/asm/pgtable.h?h=linux-3.10.y&id=5a0fdfada3a2aa50d7b947a2e958bf00cbe0d830"> + <td>A-28557020<br /> + <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/arch/arm64/include/asm/pgtable.h?h=linux-3.10.y&id=5a0fdfada3a2aa50d7b947a2e958bf00cbe0d830"> アップストリーム カーネル</a></td> <td>高</td> <td>Nexus 5X、Nexus 6P</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <h3 id="information-disclosure-vulnerability-in-networking-component"> ネットワーク コンポーネントでの情報開示の脆弱性</h3> <p>ネットワーク コンポーネントに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスできるようになるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2196,7 +1828,7 @@ Qualcomm サウンド ドライバでの権限昇格の脆弱性</h3> <td><a href="#all_nexus">すべての Nexus</a></td> <td>2016 年 3 月 5 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="information-disclosure-vulnerability-in-mediatek-wi-fi-driver"> @@ -2204,12 +1836,12 @@ MediaTek Wi-Fi ドライバでの情報開示の脆弱性</h3> <p>MediaTek Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスできるようになるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2218,13 +1850,13 @@ MediaTek Wi-Fi ドライバでの情報開示の脆弱性</h3> </tr> <tr> <td>CVE-2016-3810</td> - <td>A-28175522*<br> + <td>A-28175522*<br /> M-ALPS02694389</td> <td>高</td> <td>Android One</td> <td>2016 年 4 月 12 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="elevation-of-privilege-vulnerability-in-kernel-video-driver"> @@ -2232,12 +1864,12 @@ MediaTek Wi-Fi ドライバでの情報開示の脆弱性</h3> <p>カーネル ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で勝手なコードの実行が可能になるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2251,7 +1883,7 @@ MediaTek Wi-Fi ドライバでの情報開示の脆弱性</h3> <td>Nexus 9</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="information-disclosure-vulnerability-in-mediatek-video-codec-driver"> @@ -2259,12 +1891,12 @@ MediaTek ビデオ コーデック ドライバでの情報開示の脆弱性</h <p>MediaTek ビデオ コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2273,13 +1905,13 @@ MediaTek ビデオ コーデック ドライバでの情報開示の脆弱性</h </tr> <tr> <td>CVE-2016-3812</td> - <td>A-28174833*<br> + <td>A-28174833*<br /> M-ALPS02688832</td> <td>中</td> <td>Android One</td> <td>2016 年 4 月 11 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="information-disclosure-vulnerability-in-qualcomm-usb-driver"> @@ -2287,12 +1919,12 @@ Qualcomm USB ドライバでの情報開示の脆弱性</h3> <p>Qualcomm USB ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2307,7 +1939,7 @@ Qualcomm USB ドライバでの情報開示の脆弱性</h3> <td>Nexus 5、Nexus 5X、Nexus 6、Nexus 6P</td> <td>2016 年 4 月 11 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="information-disclosure-vulnerability-in-nvidia-camera-driver"> @@ -2315,12 +1947,12 @@ NVIDIA カメラドライバでの情報開示の脆弱性</h3> <p>NVIDIA カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2329,7 +1961,7 @@ NVIDIA カメラドライバでの情報開示の脆弱性</h3> </tr> <tr> <td>CVE-2016-3814</td> - <td>A-28193342*<br> + <td>A-28193342*<br /> N-CVE20163814</td> <td>中</td> <td>Nexus 9</td> @@ -2337,13 +1969,13 @@ NVIDIA カメラドライバでの情報開示の脆弱性</h3> </tr> <tr> <td>CVE-2016-3815</td> - <td>A-28522274*<br> + <td>A-28522274*<br /> N-CVE20163815</td> <td>中</td> <td>Nexus 9</td> <td>2016 年 5 月 1 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="information-disclosure-vulnerability-in-mediatek-display-driver"> @@ -2351,12 +1983,12 @@ MediaTek ディスプレイ ドライバでの情報開示の脆弱性</h3> <p>MediaTek ディスプレイ ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2370,7 +2002,7 @@ MediaTek ディスプレイ ドライバでの情報開示の脆弱性</h3> <td>Android One</td> <td>2016 年 4 月 26 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h3 id="information-disclosure-vulnerability-in-kernel-teletype-driver"> @@ -2378,12 +2010,12 @@ MediaTek ディスプレイ ドライバでの情報開示の脆弱性</h3> <p>テレタイプ ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスできるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2392,25 +2024,25 @@ MediaTek ディスプレイ ドライバでの情報開示の脆弱性</h3> </tr> <tr> <td>CVE-2016-0723</td> - <td>A-28409131<br> + <td>A-28409131<br /> <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=5c17c861a357e9458001f021a7afa7aab9937439">アップストリーム カーネル</a></td> <td>中</td> <td>Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Nexus Player、Pixel C</td> <td>2016 年 4 月 26 日</td> </tr> -</table> +</tbody></table> <h3 id="denial-of-service-vulnerability-in-qualcomm-bootloader"> Qualcomm ブートローダーでのサービス拒否の脆弱性</h3> -<p>Qualcomm ブートローダーにサービス拒否の脆弱性があるため、悪意のあるローカルアプリによってローカル端末の永久的な侵害が引き起こされるおそれがあり、端末を修復するにはオペレーティング システムの再消去が必要になる可能性があります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> +<p>Qualcomm ブートローダーにサービス拒否の脆弱性があるため、悪意のあるローカルアプリがローカルでの永久的な端末の侵害を引き起こし、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="16%"> - <col width="10%"> - <col width="27%"> - <col width="16%"> - <tr> + <colgroup><col width="19%" /> + <col width="16%" /> + <col width="10%" /> + <col width="27%" /> + <col width="16%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2433,13 +2065,12 @@ Qualcomm ブートローダーでのサービス拒否の脆弱性</h3> <td>Nexus 5、Nexus 7(2013)</td> <td>2015 年 8 月 19 日</td> </tr> -</table> +</tbody></table> <h2 id="common-questions-and-answers">一般的な質問と回答</h2> -<p>上記の公開情報に対する一般的な質問について、以下で回答します。</p> +<p>上記の公開情報に対する一般的な質問についての回答は以下のとおりです。</p> -<p><strong>1. 上記の問題に対処するように端末が更新されているかどうかをどのように判断すればよいですか?</strong></p> -<p>セキュリティ パッチ レベル 2016-07-01 以降では、セキュリティ パッチ レベル文字列 2016-7-01 に関連するすべての問題に対処しています。セキュリティ パッチ レベル 2016-07-05 以降では、セキュリティ パッチ レベル文字列 2016-07-05 に関連するすべての問題に対処しています。セキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/nexus/answer/4457705">ヘルプセンター</a>の説明をご覧ください。このアップデートを組み込んだ端末メーカーは、パッチ文字列のレベルを [ro.build.version.security_patch]:[2016-07-01] または -[ro.build.version.security_patch]:[2016-07-05] に設定する必要があります。</p> +<p><strong>1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか?</strong></p> +<p>セキュリティ パッチ レベル 2016-07-01 以降では、セキュリティ パッチ レベル文字列 2016-7-01 に関連するすべての問題に対処しています。セキュリティ パッチ レベル 2016-07-05 以降では、セキュリティ パッチ レベル文字列 2016-07-05 に関連するすべての問題に対処しています。セキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/nexus/answer/4457705">ヘルプセンター</a>の説明をご覧ください。このアップデートを組み込んだ端末メーカーは、パッチ文字列のレベルを [ro.build.version.security_patch]:[2016-07-01] または [ro.build.version.security_patch]:[2016-07-05] に設定する必要があります。</p> <p><strong>2. この公開情報に 2 つのセキュリティ パッチ レベル文字列があるのはなぜですか?</strong></p> <p>この公開情報では、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性を Android パートナーが迅速かつ柔軟に修正できるよう、2 つのセキュリティ パッチ レベル文字列を定義しています。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベル文字列を使用することが推奨されています。</p> @@ -2447,18 +2078,18 @@ Qualcomm ブートローダーでのサービス拒否の脆弱性</h3> <p>2016 年 7 月 1 日のセキュリティ パッチ レベルを使用する端末では、そのセキュリティ パッチ レベルに関連するすべての問題と、これまでのセキュリティに関する公開情報で報告されたすべての問題の修正を含める必要があります。2016 年 7 月 1 日のセキュリティ パッチ レベルを使用する端末に、2016 年 7 月 5 日のセキュリティ パッチ レベルに関連する修正の一部を含めることもできます。</p> <p id="all_nexus"><strong>3. 各問題の影響を受ける Nexus 端末を判断するにはどうすればよいですか?</strong></p> -<p><a href="#2016-07-01_details">2016-07-01</a> および <a href="#2016-07-05_details">2016-07-05</a> のセキュリティの脆弱性の詳細に関する各表には「更新された Nexus 端末」列があり、その問題に対して更新された、影響を受ける Nexus 端末の範囲が記載されています。この列には次のいずれかが表示されています。</p> +<p><a href="#2016-07-01-details">2016-07-01</a> と <a href="#2016-07-05-details">2016-07-05</a> のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Nexus 端末」列に、その問題の影響を受ける、更新対象の Nexus 端末の種類を記載しています。この列には次のいずれかが表示されています。</p> <ul> - <li><strong>すべての Nexus 端末</strong>: 問題がすべての Nexus 端末に影響を与える場合、表の「更新された Nexus 端末」列には「すべての Nexus」と表示されます。<em></em>「すべての Nexus」には<a href="https://support.google.com/nexus/answer/4457705#nexus_devices">サポートされる端末</a>(Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Android One、Nexus Player、Pixel C)が含まれています。</li> - <li><strong>一部の Nexus 端末</strong>: 問題がすべての Nexus 端末には影響を与えない場合、「更新された Nexus 端末」列には影響を受ける Nexus 端末が表示されます。<em></em></li> - <li><strong>影響を受ける Nexus 端末がない</strong>: 問題の影響を受ける Nexus 端末がない場合、表の「更新された Nexus 端末」列には「なし」と表示されます。<em></em></li> + <li><strong>すべての Nexus 端末</strong>: 問題がすべての Nexus 端末に影響を与える場合、表の「更新対象の Nexus 端末<em></em>」列には「すべての Nexus」と記載されています。「すべての Nexus」には<a href="https://support.google.com/nexus/answer/4457705#nexus_devices">サポートされる端末</a>(Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Android One、Nexus Player、Pixel C)が含まれています。</li> + <li><strong>一部の Nexus 端末</strong>: 問題が一部の Nexus 端末のみに影響する場合、「更新対象の Nexus 端末<em></em>」列には影響を受ける Nexus 端末が記載されています。</li> + <li><strong>影響を受ける Nexus 端末がない</strong>: 問題の影響を受ける Nexus 端末がない場合、表の「更新対象の Nexus 端末<em></em>」列には「なし」と記載されています。</li> </ul> <p><strong>4. 「参照」列の項目はどのような情報に関連付けられていますか?</strong></p> <p>脆弱性の詳細の表で「参照」列に記載されている内容には、参照の値が属している組織を示した接頭辞が含まれている場合があります。<em></em>各接頭辞の意味は以下のとおりです。</p> <table> - <tr> + <tbody><tr> <th>接頭辞</th> <th>参照</th> </tr> @@ -2478,7 +2109,7 @@ Qualcomm ブートローダーでのサービス拒否の脆弱性</h3> <td>N-</td> <td>NVIDIA の参照番号</td> </tr> -</table> +</tbody></table> <h2 id="revisions">改訂</h2> <ul> @@ -2486,13 +2117,12 @@ Qualcomm ブートローダーでのサービス拒否の脆弱性</h3> <li>2016 年 7 月 7 日: <ul> <li>AOSP リンクを追加 - <li>CVE-2016-3794 を削除(CVE-2016-3814 と重複していたため) - <li>CVE-2016-2501 および CVE-2016-2502 の帰属を追加 - </li></li></li></ul> + </li><li>CVE-2016-3794 を削除(CVE-2016-3814 と重複していたため) + </li><li>CVE-2016-2501 および CVE-2016-2502 の帰属を追加 + </li></ul> </li> <li>2016 年 7 月 11 日: CVE-2016-3750 の帰属を更新</li> <li>2016 年 7 月 14 日: CVE-2016-2503 の帰属を更新</li> </ul> - </body> -</html> +</body></html>
\ No newline at end of file diff --git a/ja/security/bulletin/2016-12-01.html b/ja/security/bulletin/2016-12-01.html index f4ca4a57..56d5b483 100644 --- a/ja/security/bulletin/2016-12-01.html +++ b/ja/security/bulletin/2016-12-01.html @@ -1,8 +1,7 @@ -<html devsite> - <head> +<html devsite><head> <title>Android のセキュリティに関する公開情報 - 2016 年 12 月</title> - <meta name="project_path" value="/_project.yaml" /> - <meta name="book_path" value="/_book.yaml" /> + <meta name="project_path" value="/_project.yaml"/> + <meta name="book_path" value="/_book.yaml"/> </head> <body> <!-- @@ -21,17 +20,15 @@ limitations under the License. --> - - -<p><em>2016 年 12 月 5 日公開 | 2016 年 12 月 7 日更新</em></p> +<p><em>2016 年 12 月 5 日公開 | 2016 年 12 月 21 日更新</em></p> <p> -Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Google 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>でリリースしています。2016 年 12 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。 +Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Google 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>でリリースしています。2016 年 12 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。 </p> <p> パートナーには、この公開情報に記載の問題について 2016 年 11 月 7 日までに通知済みです。Android オープンソース プロジェクト(AOSP)レポジトリに、下記の問題に対するソースコードのパッチをリリースしています。この公開情報には AOSP 以外のパッチへのリンクも掲載しています。 </p> <p> -このうち最も重大な問題は、カーネル内で任意のコードが実行されるおそれがある端末固有のコードのセキュリティ上の重大な脆弱性です。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があります。 +このうち最も重大なセキュリティ上の問題は、カーネル内で恣意的にコードが実行されるおそれのある端末固有のコードの脆弱性です。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があります。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。 </p> <p> この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a> のようなサービスの保護について詳しくは、<a href="#mitigations">Android と Google サービスでのリスク軽減策</a>をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。 @@ -49,288 +46,6 @@ Android のセキュリティに関する公開情報には、Android 搭載端 </li> <li>サポート対象の Google 端末には、2016 年 12 月 5 日のセキュリティ パッチ レベルのアップデート 1 件が OTA で配信されます。</li> </ul> -<h2 id="security-vulnerability-summary">セキュリティの脆弱性の概要</h2> -<p> -下記の表に、セキュリティの脆弱性、その共通脆弱性識別子(CVE)、重大度の判定、Google 端末への影響があるかどうかの一覧を示します。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が、開発目的や不正に回避されたために無効にされた場合を前提としています。 -</p> -<h3 id="2016-12-01-summary">セキュリティ パッチ レベル 2016-12-01 の脆弱性の概要</h3> -<p> -セキュリティ パッチ レベル 2016-12-01 以降では、下記の問題に対処する必要があります。 -</p> -<table> - <col width="55%"> - <col width="20%"> - <col width="13%"> - <col width="12%"> - <tr> - <th>問題</th> - <th>CVE</th> - <th>重大度</th> - <th>Google 端末への影響</th> - </tr> - <tr> - <td>CURL / LIBCURL でのリモートコード実行の脆弱性</td> - <td>CVE-2016-5419、CVE-2016-5420、CVE-2016-5421</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>libziparchive での権限昇格の脆弱性</td> - <td>CVE-2016-6762</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Telephony でのサービス拒否の脆弱性</td> - <td>CVE-2016-6763</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでのサービス拒否の脆弱性</td> - <td>CVE-2016-6766、CVE-2016-6765、CVE-2016-6764、CVE-2016-6767</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Framesequence ライブラリでのリモートコード実行の脆弱性</td> - <td>CVE-2016-6768</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Smart Lock での権限昇格の脆弱性</td> - <td>CVE-2016-6769</td> - <td>中</td> - <td>なし*</td> - </tr> - <tr> - <td>フレームワーク API での権限昇格の脆弱性</td> - <td>CVE-2016-6770</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Telephony での権限昇格の脆弱性</td> - <td>CVE-2016-6771</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Wi-Fi での権限昇格の脆弱性</td> - <td>CVE-2016-6772</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでの情報開示の脆弱性</td> - <td>CVE-2016-6773</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Package Manager での情報開示の脆弱性</td> - <td>CVE-2016-6774</td> - <td>中</td> - <td>あり</td> - </tr> -</table> -<p> -* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。 -</p> -<h3 id="2016-12-05-summary">セキュリティ パッチ レベル 2016-12-05 の脆弱性の概要</h3> -<p> -セキュリティ パッチ レベル 2016-12-05 以降では、2016-12-01 に関連するすべての問題に加えて、下記の問題に対処する必要があります。 -</p> -<table> - <col width="55%"> - <col width="20%"> - <col width="13%"> - <col width="12%"> - <tr> - <th>問題</th> - <th>CVE</th> - <th>重大度</th> - <th>Google 端末への影響</th> - </tr> - <tr> - <td>カーネル メモリ サブシステムでの権限昇格の脆弱性</td> - <td>CVE-2016-4794、CVE-2016-5195</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>NVIDIA GPU ドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-6775、CVE-2016-6776、CVE-2016-6777</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>カーネルでの権限昇格の脆弱性</td> - <td>CVE-2015-8966</td> - <td>重大</td> - <td>なし*</td> - </tr> - <tr> - <td>NVIDIA ビデオドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-6915、CVE-2016-6916、CVE-2016-6917</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル ION ドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-9120</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm コンポーネントでの脆弱性</td> - <td>CVE-2016-8411</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル ファイル システムでの権限昇格の脆弱性</td> - <td>CVE-2014-4014</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>カーネルでの権限昇格の脆弱性</td> - <td>CVE-2015-8967</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>HTC サウンド コーデック ドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-6778、CVE-2016-6779、CVE-2016-6780</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-6492、CVE-2016-6781、CVE-2016-6782、CVE-2016-6783、CVE-2016-6784、CVE-2016-6785</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>Qualcomm メディア コーデックでの権限昇格の脆弱性</td> - <td>CVE-2016-6761、CVE-2016-6760、CVE-2016-6759、CVE-2016-6758</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm カメラドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-6755</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル パフォーマンス サブシステムでの権限昇格の脆弱性</td> - <td>CVE-2016-6786、CVE-2016-6787</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek I2C ドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-6788</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>NVIDIA libomx ライブラリでの権限昇格の脆弱性</td> - <td>CVE-2016-6789、CVE-2016-6790</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm サウンド ドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-6791、CVE-2016-8391、CVE-2016-8392</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル セキュリティ サブシステムでの権限昇格の脆弱性</td> - <td>CVE-2015-7872</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Synaptics タッチスクリーン ドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-8393、CVE-2016-8394</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Broadcom Wi-Fi ドライバでの権限昇格の脆弱性</td> - <td>CVE-2014-9909、CVE-2014-9910</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>MediaTek ビデオドライバでの情報開示の脆弱性</td> - <td>CVE-2016-8396</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>NVIDIA ビデオドライバでの情報開示の脆弱性</td> - <td>CVE-2016-8397</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>GPS でのサービス拒否の脆弱性</td> - <td>CVE-2016-5341</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>NVIDIA カメラドライバでのサービス拒否の脆弱性</td> - <td>CVE-2016-8395</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル ネットワーク サブシステムでの権限昇格の脆弱性</td> - <td>CVE-2016-8399</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm コンポーネントでの情報開示の脆弱性</td> - <td>CVE-2016-6756、CVE-2016-6757</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>NVIDIA librm ライブラリでの情報開示の脆弱性</td> - <td>CVE-2016-8400</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル コンポーネントでの情報開示の脆弱性</td> - <td>CVE-2016-8401、CVE-2016-8402、CVE-2016-8403、CVE-2016-8404、CVE-2016-8405、CVE-2016-8406、CVE-2016-8407</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>NVIDIA ビデオドライバでの情報開示の脆弱性</td> - <td>CVE-2016-8408、CVE-2016-8409</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm サウンド ドライバでの情報開示の脆弱性</td> - <td>CVE-2016-8410</td> - <td>中</td> - <td>あり</td> - </tr> -</table> -<p> -* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。 -</p> <h2 id="mitigations">Android と Google サービスでのリスク軽減策</h2> <p> ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。 @@ -338,7 +53,7 @@ Android のセキュリティに関する公開情報には、Android 搭載端 <ul> <li>Android プラットフォームの最新版での機能強化により、Android 上の多くの問題について悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新版の Android に更新することをおすすめしています。</li> <li>Android セキュリティ チームは、<a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2015_Report_Final.pdf">「アプリの確認」や SafetyNet</a> によって脆弱性の悪用を積極的に監視しており、<a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">有害なおそれのあるアプリ</a>についてユーザーに警告しています。「アプリの確認」は、<a href="http://www.android.com/gms">Google モバイル サービス</a>を搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。端末のルート権限を取得するツールは Google Play では禁止されていますが、「アプリの確認」では、アプリの入手元にかかわらず、ルート権限取得アプリを検出し、インストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。</li> -<li>Google ハングアウトやメッセンジャーのアプリでは状況を判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。</li> +<li>Google ハングアウトやメッセンジャーなどのアプリでは状況を適宜判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。</li> </ul> <h2 id="acknowledgements">謝辞</h2> @@ -351,10 +66,10 @@ Android のセキュリティに関する公開情報には、Android 搭載端 <li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:zc1991@mail.ustc.edu.cn">Chi Zhang</a>、Mingjian Zhou(<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)、Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Xuxian Jiang: CVE-2016-6789、CVE-2016-6790</li> <li>Christian Seel: CVE-2016-6769</li> <li>Google の David Benjamin、Kenny Root: CVE-2016-6767</li> - <li>Tencent、KeenLab(<a href="https://twitter.com/keen_lab">@keen_lab</a>)の Di Shen(<a href="https://twitter.com/returnsme">@returnsme</a>): CVE-2016-6776、CVE-2016-6787</li> + <li>Tencent KeenLab(<a href="https://twitter.com/keen_lab">@keen_lab</a>)の Di Shen(<a href="https://twitter.com/returnsme">@returnsme</a>): CVE-2016-6776、CVE-2016-6787</li> <li><a href="http://www.ms509.com">MS509Team</a> の En He(<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>): CVE-2016-6763</li> - <li>Qihoo 360 Technology Co. Ltd.、IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、Qihoo 360 Technology Co. Ltd.、IceSword Lab の <a href="http://weibo.com/jfpan">pjf</a>: CVE-2016-6779、CVE-2016-6778、CVE-2016-8401、CVE-2016-8402、CVE-2016-8403、CVE-2016-8409、CVE-2016-8408、CVE-2016-8404</li> - <li>Qihoo 360 Technology Co. Ltd.、IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、Qihoo 360 Technology Co. Ltd.、IceSword Lab の <a href="http://weibo.com/jfpan">pjf</a>: CVE-2016-6788、CVE-2016-6781、CVE-2016-6782、CVE-2016-8396</li> + <li>Qihoo 360 Technology Co. Ltd. IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2016-6779、CVE-2016-6778、CVE-2016-8401、CVE-2016-8402、CVE-2016-8403、CVE-2016-8409、CVE-2016-8408、CVE-2016-8404</li> + <li>Qihoo 360 Technology Co. Ltd. IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2016-6788、CVE-2016-6781、CVE-2016-6782、CVE-2016-8396</li> <li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:zlbzlb815@163.com">Lubo Zhang</a>、<a href="mailto:segfault5514@gmail.com">Tong Lin</a>、<a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Xuxian Jiang: CVE-2016-6791、CVE-2016-8391、CVE-2016-8392</li> <li>Project Zero の Mark Brand: CVE-2016-6772</li> <li><a href="https://github.com/michalbednarski">Michał Bednarski</a>: CVE-2016-6770、CVE-2016-6774</li> @@ -366,13 +81,13 @@ Android のセキュリティに関する公開情報には、Android 搭載端 <li>Baidu X-Lab の Pengfei Ding(丁鹏飞)、Chenfu Bao(包沉浮)、Lenx Wei(韦韬): CVE-2016-6755、CVE-2016-6756</li> <li>Trend Micro の Peter Pi(<a href="https://twitter.com/heisecode">@heisecode</a>): CVE-2016-8397、CVE-2016-8405、CVE-2016-8406、CVE-2016-8407</li> <li>Tencent、KeenLab(腾讯科恩实验室)の Qidan He(何淇丹)(<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>): CVE-2016-8399、CVE-2016-8395</li> - <li>Tencent、KeenLab(腾讯科恩实验室)の Qidan He(何淇丹)(<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>)、Marco Grassi(<a href="https://twitter.com/marcograss">@marcograss</a>): CVE-2016-6768</li> + <li>Tencent KeenLab(腾讯科恩实验室)の Qidan He(何淇丹)(<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>)、Marco Grassi(<a href="https://twitter.com/marcograss">@marcograss</a>): CVE-2016-6768</li> <li>Richard Shupak: CVE-2016-5341</li> <li>IBM X-Force Research の Sagi Kedmi: CVE-2016-8393、CVE-2016-8394</li> <li>Trend Micro Inc.、Mobile Threat Research Team の Seven Shen(<a href="https://twitter.com/lingtongshen">@lingtongshen</a>): CVE-2016-6757</li> <li>Alibaba Inc の Weichao Sun(<a href="https://twitter.com/sunblate">@sunblate</a>): CVE-2016-6773</li> <li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:vancouverdou@gmail.com">Wenke Dou</a>、<a href="mailto:zc1991@mail.ustc.edu.cn">Chi Zhang</a>、Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Xuxian Jiang: CVE-2016-6765</li> - <li><a href="http://www.trendmicro.com">Trend Micro Inc.</a>、<a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile/">Mobile Threat Response Team</a> の Wish Wu(<a href="https://twitter.com/wish_wu">@wish_wu</a>)(<a href="http://weibo.com/wishlinux">吴潍浠</a>): CVE-2016-6704</li> + <li><a href="http://www.trendmicro.com">Trend Micro Inc.</a> <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile/">Mobile Threat Response Team</a> の Wish Wu(<a href="https://twitter.com/wish_wu">@wish_wu</a>)(<a href="http://weibo.com/wishlinux">吴潍浠</a>): CVE-2016-6704</li> <li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、<a href="mailto:segfault5514@gmail.com">Tong Lin</a>、Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Xuxian Jiang: CVE-2016-6786、CVE-2016-6780、CVE-2016-6775</li> <li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、<a href="mailto:wisedd@gmail.com">Xiaodong Wang</a>、Chiachih Wu(<a href="https://twitter.com/chiachih_wu">@chiachih_wu</a>)、Xuxian Jiang: CVE-2016-6777</li> <li>Tencent Security Platform Department の Yuxiang Li: CVE-2016-6771</li> @@ -380,13 +95,12 @@ Android のセキュリティに関する公開情報には、Android 搭載端 <li>Qihoo 360 Technology Co. Ltd.、Chengdu Security Response Center の <a href="http://weibo.com/ele7enxxh">Zinuo Han</a>: CVE-2016-6762</li> </ul> <p> -Bottle Tech の MengLuo Gou(<a href="https://twitter.com/idhyt3r">@idhyt3r</a>)氏、Google の Yong Wang(王勇)(<a href="https://twitter.com/ThomasKing2014">@ThomasKing2014</a>)、Zubin Mithra にも、セキュリティに関する公開情報にご協力いただきました。ここに謝意を表します。 +その他にも、Bottle Tech の MengLuo Gou(<a href="https://twitter.com/idhyt3r">@idhyt3r</a>)氏、Google の Yong Wang(王勇)(<a href="https://twitter.com/ThomasKing2014">@ThomasKing2014</a>)、Zubin Mithra にも、セキュリティに関する公開情報にご協力いただきました。ここに謝意を表します。 </p> <h2 id="2016-12-01-details">セキュリティ パッチ レベル 2016-12-01 の脆弱性の詳細</h2> <p> -上記の<a href="#2016-12-01-summary">セキュリティ パッチ レベル 2016-12-01 の脆弱性の概要</a>で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> - +パッチレベル 2016-12-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> <h3 id="rce-in-curl-libcurl">CURL / LIBCURL でのリモートコード実行の脆弱性</h3> <p> @@ -394,13 +108,13 @@ Bottle Tech の MengLuo Gou(<a href="https://twitter.com/idhyt3r">@idhyt3r</a> </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -432,8 +146,7 @@ Bottle Tech の MengLuo Gou(<a href="https://twitter.com/idhyt3r">@idhyt3r</a> <td>7.0</td> <td>2016 年 8 月 3 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-libziparchive">libziparchive での権限昇格の脆弱性</h3> <p> @@ -441,13 +154,13 @@ libziparchive ライブラリに権限昇格の脆弱性があるため、悪意 </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -466,8 +179,7 @@ libziparchive ライブラリに権限昇格の脆弱性があるため、悪意 <td>5.0.2、5.1.1、6.0、6.0.1、7.0</td> <td>2016 年 8 月 28 日</td> </tr> -</table> - +</tbody></table> <h3 id="dos-in-telephony">Telephony でのサービス拒否の脆弱性</h3> <p> @@ -475,13 +187,13 @@ Telephony にサービス拒否の脆弱性があるため、悪意のあるロ </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -498,8 +210,7 @@ Telephony にサービス拒否の脆弱性があるため、悪意のあるロ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0</td> <td>2016 年 9 月 12 日</td> </tr> -</table> - +</tbody></table> <h3 id="dos-in-mediaserver">メディアサーバーでのサービス拒否の脆弱性</h3> <p> @@ -507,13 +218,13 @@ Telephony にサービス拒否の脆弱性があるため、悪意のあるロ </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -556,26 +267,25 @@ Telephony にサービス拒否の脆弱性があるため、悪意のあるロ <td>4.4.4</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <p> * Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。 </p> - <h3 id="rce-in-framesequence-library">Framesequence ライブラリでのリモートコード実行の脆弱性</h3> <p> Framesequence ライブラリにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、権限のないプロセス内で任意のコードを実行するおそれがあります。Framesequence ライブラリを使用するアプリでリモートコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。 </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -592,8 +302,7 @@ Framesequence ライブラリにリモートコード実行の脆弱性がある <td>5.0.2、5.1.1、6.0、6.0.1、7.0</td> <td>2016 年 9 月 19 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-smart-lock">Smart Lock での権限昇格の脆弱性</h3> <p> @@ -601,13 +310,13 @@ Smart Lock に権限昇格の脆弱性があるため、悪意のあるローカ </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -623,25 +332,24 @@ Smart Lock に権限昇格の脆弱性があるため、悪意のあるローカ <td>5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 5 月 27 日</td> </tr> -</table> +</tbody></table> <p> * Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。 </p> - <h3 id="eop-in-framework-apis">フレームワーク API での権限昇格の脆弱性</h3> <p> フレームワーク API に権限昇格の脆弱性があるため、悪意のあるローカルアプリがアクセス権の範囲外のシステム機能にアクセスできるおそれがあります。制約されたプロセスで制限がローカルで回避されるため、この問題の重大度は「中」と判断されています。 </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -658,8 +366,7 @@ Smart Lock に権限昇格の脆弱性があるため、悪意のあるローカ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0</td> <td>2016 年 7 月 16 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-telephony">Telephony での権限昇格の脆弱性</h3> <p> @@ -667,13 +374,13 @@ Telephony に権限昇格の脆弱性があるため、悪意のあるローカ </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -690,8 +397,7 @@ Telephony に権限昇格の脆弱性があるため、悪意のあるローカ <td>6.0、6.0.1、7.0</td> <td>2016 年 9 月 17 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-wi-fi">Wi-Fi での権限昇格の脆弱性</h3> <p> @@ -699,13 +405,13 @@ Wi-Fi に権限昇格の脆弱性があるため、悪意のあるローカル </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -723,8 +429,7 @@ Wi-Fi に権限昇格の脆弱性があるため、悪意のあるローカル <td>5.0.2、5.1.1、6.0、6.0.1、7.0</td> <td>2016 年 9 月 30 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-mediaserver">メディアサーバーでの情報開示の脆弱性</h3> <p> @@ -732,13 +437,13 @@ Wi-Fi に権限昇格の脆弱性があるため、悪意のあるローカル </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -756,8 +461,7 @@ Wi-Fi に権限昇格の脆弱性があるため、悪意のあるローカル <td>6.0、6.0.1、7.0</td> <td>2016 年 7 月 27 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-package-manager">Package Manager での情報開示の脆弱性</h3> <p> @@ -765,13 +469,13 @@ Package Manager に情報開示の脆弱性があるため、悪意のあるロ </p> <table> - <col width="18%"> - <col width="18%"> - <col width="10%"> - <col width="19%"> - <col width="17%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="18%" /> + <col width="10%" /> + <col width="19%" /> + <col width="17%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -788,12 +492,11 @@ Package Manager に情報開示の脆弱性があるため、悪意のあるロ <td>7.0</td> <td>2016 年 8 月 29 日</td> </tr> -</table> - +</tbody></table> <h2 id="2016-12-05-details">セキュリティ パッチ レベル 2016-12-05 の脆弱性の詳細</h2> <p> -上記の<a href="#2016-12-05-summary">セキュリティ パッチ レベル 2016-12-05 の脆弱性の概要</a>で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> +パッチレベル 2016-12-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> <h3 id="eop-in-kernel-memory-subsystem">カーネル メモリ サブシステムでの権限昇格の脆弱性</h3> <p> @@ -801,12 +504,12 @@ Package Manager に情報開示の脆弱性があるため、悪意のあるロ </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -815,7 +518,7 @@ Package Manager に情報開示の脆弱性があるため、悪意のあるロ </tr> <tr> <td>CVE-2016-4794</td> - <td>A-31596597<br> + <td>A-31596597<br /> <a href="http://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=6710e594f71ccaad8101bc64321152af7cd9ea28"> アップストリーム カーネル</a> [<a href="http://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=4f996e234dad488e5d9ba0858bc1bae12eff82c3">2</a>]</td> @@ -825,7 +528,7 @@ Package Manager に情報開示の脆弱性があるため、悪意のあるロ </tr> <tr> <td>CVE-2016-5195</td> - <td>A-32141528<br> + <td>A-32141528<br /> <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=9691eac5593ff1e2f82391ad327f21d90322aec1"> アップストリーム カーネル</a> [<a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=e45a502bdeae5a075257c4f061d1ff4ff0821354">2</a>]</td> @@ -833,8 +536,7 @@ Package Manager に情報開示の脆弱性があるため、悪意のあるロ <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL</td> <td>2016 年 10 月 12 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-nvidia-gpu-driver">NVIDIA GPU ドライバでの権限昇格の脆弱性</h3> <p> @@ -842,12 +544,12 @@ NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあ </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -856,26 +558,26 @@ NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあ </tr> <tr> <td>CVE-2016-6775</td> - <td>A-31222873*<br>N-CVE-2016-6775</td> + <td>A-31222873*<br />N-CVE-2016-6775</td> <td>重大</td> <td>Nexus 9</td> <td>2016 年 8 月 25 日</td> </tr> <tr> <td>CVE-2016-6776</td> - <td>A-31680980*<br>N-CVE-2016-6776</td> + <td>A-31680980*<br />N-CVE-2016-6776</td> <td>重大</td> <td>Nexus 9</td> <td>2016 年 9 月 22 日</td> </tr> <tr> <td>CVE-2016-6777</td> - <td>A-31910462*<br>N-CVE-2016-6777</td> + <td>A-31910462*<br />N-CVE-2016-6777</td> <td>重大</td> <td>Nexus 9</td> <td>2016 年 10 月 3 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -886,12 +588,12 @@ NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあ </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -900,31 +602,30 @@ NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあ </tr> <tr> <td>CVE-2015-8966</td> - <td>A-31435731<br> + <td>A-31435731<br /> <a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=76cc404bfdc0d419c720de4daaf2584542734f42"> アップストリーム カーネル</a></td> <td>重大</td> <td>なし*</td> <td>2016 年 9 月 10 日</td> </tr> -</table> +</tbody></table> <p> * Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。 </p> - <h3 id="eop-in-nvidia-video-driver">NVIDIA ビデオドライバでの権限昇格の脆弱性</h3> <p> NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -934,7 +635,7 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 <tr> <td>CVE-2016-6915</td> <td>A-31471161* - <br>N-CVE-2016-6915</td> + <br />N-CVE-2016-6915</td> <td>重大</td> <td>Nexus 9</td> <td>2016 年 9 月 13 日</td> @@ -942,7 +643,7 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 <tr> <td>CVE-2016-6916</td> <td>A-32072350* - <br>N-CVE-2016-6916</td> + <br />N-CVE-2016-6916</td> <td>重大</td> <td>Nexus 9、Pixel C</td> <td>2016 年 9 月 13 日</td> @@ -950,12 +651,12 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 <tr> <td>CVE-2016-6917</td> <td>A-32072253* - <br></td> + <br />N-CVE-2016-6917</td> <td>重大</td> <td>Nexus 9</td> <td>2016 年 9 月 13 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -966,12 +667,12 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -980,25 +681,26 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 </tr> <tr> <td>CVE-2016-9120</td> - <td>A-31568617<br> + <td>A-31568617<br /> <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=9590232bb4f4cc824f3425a6e1349afbe6d6d2b7"> アップストリーム カーネル</a></td> <td>重大</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel C、Nexus Player</td> <td>2016 年 9 月 16 日</td> </tr> -</table> +</tbody></table> -<h3>Qualcomm コンポーネントでの脆弱性</h3> +<h3 id="vulnerabilities-in-qc-components">Qualcomm コンポーネントでの脆弱性</h3> <p> -次に、Qualcomm コンポーネントに影響する脆弱性を示します。詳細については、Qualcomm AMSS November 2015 のセキュリティに関する公開情報をご参照ください。</p> +下記の表に Qualcomm コンポーネントに影響する脆弱性を示します。詳細については、Qualcomm AMSS の 2015 年 11 月のセキュリティに関する公開情報をご覧ください。 +</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度*</th> @@ -1012,7 +714,7 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 <td>Nexus 6、Nexus 6P、Android One</td> <td>Qualcomm 社内</td> </tr> -</table> +</tbody></table> <p>* この一連の問題の重大度はベンダーが決定したものです。</p> <p>** この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1023,12 +725,12 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1037,15 +739,14 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 </tr> <tr> <td>CVE-2014-4014</td> - <td>A-31252187<br> + <td>A-31252187<br /> <a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=23adbe12ef7d3d4195e80800ab36b37bee28cd03"> アップストリーム カーネル</a></td> <td>高</td> <td>Nexus 6、Nexus Player</td> <td>2014 年 6 月 10 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-kernel-2">カーネルでの権限昇格の脆弱性</h3> <p> @@ -1053,12 +754,12 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1067,15 +768,14 @@ NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意 </tr> <tr> <td>CVE-2015-8967</td> - <td>A-31703084<br> + <td>A-31703084<br /> <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=c623b33b4e9599c6ac5076f7db7369eb9869aa04"> アップストリーム カーネル</a></td> <td>高</td> <td>Nexus 5X、Nexus 6P、Nexus 9、Pixel C、Pixel、Pixel XL</td> <td>2015 年 1 月 8 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-htc-sound-codec-driver">HTC サウンド コーデック ドライバでの権限昇格の脆弱性</h3> <p> @@ -1083,12 +783,12 @@ HTC サウンド コーデック ドライバに権限昇格の脆弱性があ </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1116,7 +816,7 @@ HTC サウンド コーデック ドライバに権限昇格の脆弱性があ <td>Nexus 9</td> <td>2016 年 8 月 30 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1127,12 +827,12 @@ MediaTek ドライバに権限昇格の脆弱性があるため、悪意のあ </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1141,64 +841,63 @@ MediaTek ドライバに権限昇格の脆弱性があるため、悪意のあ </tr> <tr> <td>CVE-2016-6492</td> - <td>A-28175122<br>MT-ALPS02696413</td> + <td>A-28175122<br />MT-ALPS02696413</td> <td>高</td> <td>なし*</td> <td>2016 年 4 月 11 日</td> </tr> <tr> <td>CVE-2016-6781</td> - <td>A-31095175<br>MT-ALPS02943455</td> + <td>A-31095175<br />MT-ALPS02943455</td> <td>高</td> <td>なし*</td> <td>2016 年 8 月 22 日</td> </tr> <tr> <td>CVE-2016-6782</td> - <td>A-31224389<br>MT-ALPS02943506</td> + <td>A-31224389<br />MT-ALPS02943506</td> <td>高</td> <td>なし*</td> <td>2016 年 8 月 24 日</td> </tr> <tr> <td>CVE-2016-6783</td> - <td>A-31350044<br>MT-ALPS02943437</td> + <td>A-31350044<br />MT-ALPS02943437</td> <td>高</td> <td>なし*</td> <td>2016 年 9 月 6 日</td> </tr> <tr> <td>CVE-2016-6784</td> - <td>A-31350755<br>MT-ALPS02961424</td> + <td>A-31350755<br />MT-ALPS02961424</td> <td>高</td> <td>なし*</td> <td>2016 年 9 月 6 日</td> </tr> <tr> <td>CVE-2016-6785</td> - <td>A-31748056<br>MT-ALPS02961400</td> + <td>A-31748056<br />MT-ALPS02961400</td> <td>高</td> <td>なし*</td> <td>2016 年 9 月 25 日</td> </tr> -</table> +</tbody></table> <p> * Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。 </p> - <h3 id="eop-in-qualcomm-media-codecs">Qualcomm メディア コーデックでの権限昇格の脆弱性</h3> <p> Qualcomm メディア コーデックに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスできるようになるので、この問題の重大度は「高」と判断されています。 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1208,7 +907,7 @@ Qualcomm メディア コーデックに権限昇格の脆弱性があるため <tr> <td>CVE-2016-6761</td> <td>A-29421682* - <br>QC-CR#1055792</td> + <br />QC-CR#1055792</td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel、Pixel XL</td> <td>2016 年 6 月 16 日</td> @@ -1216,7 +915,7 @@ Qualcomm メディア コーデックに権限昇格の脆弱性があるため <tr> <td>CVE-2016-6760</td> <td>A-29617572* - <br>QC-CR#1055783</td> + <br />QC-CR#1055783</td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel、Pixel XL</td> <td>2016 年 6 月 23 日</td> @@ -1224,7 +923,7 @@ Qualcomm メディア コーデックに権限昇格の脆弱性があるため <tr> <td>CVE-2016-6759</td> <td>A-29982686* - <br>QC-CR#1055766</td> + <br />QC-CR#1055766</td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel、Pixel XL</td> <td>2016 年 7 月 4 日</td> @@ -1232,12 +931,12 @@ Qualcomm メディア コーデックに権限昇格の脆弱性があるため <tr> <td>CVE-2016-6758</td> <td>A-30148882* - <br>QC-CR#1071731</td> + <br />QC-CR#1071731</td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel、Pixel XL</td> <td>2016 年 7 月 13 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1248,12 +947,12 @@ Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1262,15 +961,14 @@ Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪 </tr> <tr> <td>CVE-2016-6755</td> - <td>A-30740545<br> + <td>A-30740545<br /> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=b5df02edbcdf53dbbab77903d28162772edcf6e0"> QC-CR#1065916</a></td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL</td> <td>2016 年 8 月 3 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-kernel-performance-subsystem">カーネル パフォーマンス サブシステムでの権限昇格の脆弱性</h3> <p> @@ -1278,12 +976,12 @@ QC-CR#1065916</a></td> </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1306,8 +1004,7 @@ QC-CR#1065916</a></td> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL</td> <td>2016 年 8 月 22 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-mediatek-i2c-driver">MediaTek I2C ドライバでの権限昇格の脆弱性</h3> <p> @@ -1315,12 +1012,12 @@ MediaTek I2C ドライバに権限昇格の脆弱性があるため、悪意の </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1329,29 +1026,28 @@ MediaTek I2C ドライバに権限昇格の脆弱性があるため、悪意の </tr> <tr> <td>CVE-2016-6788</td> - <td>A-31224428<br>MT-ALPS02943467</td> + <td>A-31224428<br />MT-ALPS02943467</td> <td>高</td> <td>なし*</td> <td>2016 年 8 月 24 日</td> </tr> -</table> +</tbody></table> <p> * Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。 </p> - <h3 id="eop-in-nvidia-libomx-library">NVIDIA libomx ライブラリでの権限昇格の脆弱性</h3> <p> NVIDIA libomx ライブラリ(libnvomx)に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスできるようになるので、この問題の重大度は「高」と判断されています。 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1361,7 +1057,7 @@ NVIDIA libomx ライブラリ(libnvomx)に権限昇格の脆弱性がある <tr> <td>CVE-2016-6789</td> <td>A-31251973* - <br>N-CVE-2016-6789</td> + <br />N-CVE-2016-6789</td> <td>高</td> <td>Pixel C</td> <td>2016 年 8 月 29 日</td> @@ -1369,12 +1065,12 @@ NVIDIA libomx ライブラリ(libnvomx)に権限昇格の脆弱性がある <tr> <td>CVE-2016-6790</td> <td>A-31251628* - <br>N-CVE-2016-6790</td> + <br />N-CVE-2016-6790</td> <td>高</td> <td>Pixel C</td> <td>2016 年 8 月 28 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1385,12 +1081,12 @@ Qualcomm サウンド ドライバに権限昇格の脆弱性があるため、 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1399,7 +1095,7 @@ Qualcomm サウンド ドライバに権限昇格の脆弱性があるため、 </tr> <tr> <td>CVE-2016-6791</td> - <td>A-31252384<br> + <td>A-31252384<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=62580295210b6c0bd809cde7088b45ebb65ace79"> QC-CR#1071809</a></td> <td>高</td> @@ -1408,7 +1104,7 @@ QC-CR#1071809</a></td> </tr> <tr> <td>CVE-2016-8391</td> - <td>A-31253255<br> + <td>A-31253255<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=62580295210b6c0bd809cde7088b45ebb65ace79"> QC-CR#1072166</a></td> <td>高</td> @@ -1417,15 +1113,14 @@ QC-CR#1072166</a></td> </tr> <tr> <td>CVE-2016-8392</td> - <td>A-31385862<br> + <td>A-31385862<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=62580295210b6c0bd809cde7088b45ebb65ace79"> QC-CR#1073136</a></td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL</td> <td>2016 年 9 月 8 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-kernel-security-subsystem">カーネル セキュリティ サブシステムでの権限昇格の脆弱性</h3> <p> @@ -1433,12 +1128,12 @@ QC-CR#1073136</a></td> </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1447,15 +1142,14 @@ QC-CR#1073136</a></td> </tr> <tr> <td>CVE-2015-7872</td> - <td>A-31253168<br> + <td>A-31253168<br /> <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f05819df10d7b09f6d1eb6f8534a8f68e5a4fe61"> アップストリーム カーネル</a></td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel、Pixel XL</td> <td>2016 年 8 月 31 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-synaptics-touchscreen-driver">Synaptics タッチスクリーン ドライバでの権限昇格の脆弱性</h3> <p> @@ -1463,12 +1157,12 @@ Synaptics タッチスクリーン ドライバに権限昇格の脆弱性があ </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1489,7 +1183,7 @@ Synaptics タッチスクリーン ドライバに権限昇格の脆弱性があ <td>Nexus 9、Android One</td> <td>2016 年 9 月 8 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1500,12 +1194,12 @@ Broadcom Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1514,35 +1208,34 @@ Broadcom Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意 </tr> <tr> <td>CVE-2014-9909</td> - <td>A-31676542<br>B-RB#26684</td> + <td>A-31676542<br />B-RB#26684</td> <td>高</td> <td>なし*</td> <td>2016 年 9 月 21 日</td> </tr> <tr> <td>CVE-2014-9910</td> - <td>A-31746399<br>B-RB#26710</td> + <td>A-31746399<br />B-RB#26710</td> <td>高</td> <td>なし*</td> <td>2016 年 9 月 26 日</td> </tr> -</table> +</tbody></table> <p> * Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。 </p> - <h3 id="id-in-mediatek-video-driver">MediaTek ビデオドライバでの情報開示の脆弱性</h3> <p>MediaTek ビデオドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1556,24 +1249,23 @@ Broadcom Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意 <td>なし*</td> <td>2016 年 8 月 26 日</td> </tr> -</table> +</tbody></table> <p> * Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。 </p> - <h3 id="id-in-nvidia-video-driver">NVIDIA ビデオドライバでの情報開示の脆弱性</h3> <p> NVIDIA ビデオドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1582,13 +1274,13 @@ NVIDIA ビデオドライバに情報開示の脆弱性があるため、悪意 </tr> <tr> <td>CVE-2016-8397</td> - <td>A-31385953*<br> + <td>A-31385953*<br /> N-CVE-2016-8397</td> <td>高</td> <td>Nexus 9</td> <td>2016 年 9 月 8 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1599,12 +1291,12 @@ Qualcomm GPS コンポーネントにサービス拒否の脆弱性があるた </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1618,7 +1310,7 @@ Qualcomm GPS コンポーネントにサービス拒否の脆弱性があるた <td>Nexus 6、Nexus 5X、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL</td> <td>2016 年 6 月 21 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1629,12 +1321,12 @@ NVIDIA カメラドライバにサービス拒否の脆弱性があるため、 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1644,12 +1336,12 @@ NVIDIA カメラドライバにサービス拒否の脆弱性があるため、 <tr> <td>CVE-2016-8395</td> <td>A-31403040* - <br>N-CVE-2016-8395</td> + <br />N-CVE-2016-8395</td> <td>高</td> <td>Pixel C</td> <td>2016 年 9 月 9 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1660,12 +1352,12 @@ NVIDIA カメラドライバにサービス拒否の脆弱性があるため、 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1679,7 +1371,7 @@ NVIDIA カメラドライバにサービス拒否の脆弱性があるため、 <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL</td> <td>2016 年 9 月 5 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1690,12 +1382,12 @@ NVIDIA カメラドライバにサービス拒否の脆弱性があるため、 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1704,7 +1396,7 @@ NVIDIA カメラドライバにサービス拒否の脆弱性があるため、 </tr> <tr> <td>CVE-2016-6756</td> - <td>A-29464815<br> + <td>A-29464815<br /> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=f91d28dcba304c9f3af35b5bebaa26233c8c13a5"> QC-CR#1042068</a> [<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=3a214ef870dc97437c7de79a1507dfe5079dce88">2</a>]</td> @@ -1714,15 +1406,14 @@ NVIDIA カメラドライバにサービス拒否の脆弱性があるため、 </tr> <tr> <td>CVE-2016-6757</td> - <td>A-30148242<br> + <td>A-30148242<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=cd99d3bbdb16899a425716e672485e0cdc283245"> QC-CR#1052821</a></td> <td>中</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL</td> <td>2016 年 7 月 13 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-nvidia-librm-library">NVIDIA librm ライブラリでの情報開示の脆弱性</h3> <p> @@ -1730,12 +1421,12 @@ NVIDIA librm ライブラリ(libnvrm)に情報開示の脆弱性があるた </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1745,12 +1436,12 @@ NVIDIA librm ライブラリ(libnvrm)に情報開示の脆弱性があるた <tr> <td>CVE-2016-8400</td> <td>A-31251599* - <br>N-CVE-2016-8400</td> + <br />N-CVE-2016-8400</td> <td>中</td> <td>Pixel C</td> <td>2016 年 8 月 29 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1761,12 +1452,12 @@ NVIDIA librm ライブラリ(libnvrm)に情報開示の脆弱性があるた </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1822,7 +1513,7 @@ NVIDIA librm ライブラリ(libnvrm)に情報開示の脆弱性があるた <td>Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL</td> <td>2016 年 9 月 28 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1833,12 +1524,12 @@ NVIDIA ビデオドライバに情報開示の脆弱性があるため、悪意 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1848,7 +1539,7 @@ NVIDIA ビデオドライバに情報開示の脆弱性があるため、悪意 <tr> <td>CVE-2016-8408</td> <td>A-31496571* - <br>N-CVE-2016-8408</td> + <br />N-CVE-2016-8408</td> <td>中</td> <td>Nexus 9</td> <td>2016 年 9 月 13 日</td> @@ -1856,12 +1547,12 @@ NVIDIA ビデオドライバに情報開示の脆弱性があるため、悪意 <tr> <td>CVE-2016-8409</td> <td>A-31495687* - <br>N-CVE-2016-8409</td> + <br />N-CVE-2016-8409</td> <td>中</td> <td>Nexus 9</td> <td>2016 年 9 月 13 日</td> </tr> -</table> +</tbody></table> <p> * この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。 </p> @@ -1872,12 +1563,12 @@ Qualcomm サウンド ドライバに情報開示の脆弱性があるため、 </p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1886,25 +1577,25 @@ Qualcomm サウンド ドライバに情報開示の脆弱性があるため、 </tr> <tr> <td>CVE-2016-8410</td> - <td>A-31498403<br> + <td>A-31498403<br /> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?h=e2bbf665187a1f0a1248e4a088823cb182153ba9"> QC-CR#987010</a></td> <td>中</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Android One</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <h2 id="common-questions-and-answers">一般的な質問と回答</h2> <p> 上記の公開情報に対する一般的な質問について、以下で回答します。 </p> <p> -<strong>1. 上記の問題に対処するように端末が更新されているかどうかをどのように判断すればよいですか? +<strong>1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか? </strong> </p> <p> -端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel および Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。 +端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel および Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。 </p> <ul> <li>セキュリティ パッチ レベル 2016-12-01 以降では、セキュリティ パッチ レベル 2016-12-01 に関連するすべての問題に対処しています。</li> @@ -1933,22 +1624,22 @@ QC-CR#987010</a></td> <strong>3. 各問題の影響を受ける Google 端末を判断するにはどうすればよいですか?</strong> </p> <p> -<a href="#2016-12-01-details">2016-12-01</a> と <a href="#2016-12-05-details">2016-12-05</a> のセキュリティの脆弱性の詳細に関するセクションで、各表中の「<em>更新対象の Google 端末</em>」列に、その問題の影響を受ける、更新対象の Google 端末の種類が記載されています。この列の記載は次のいずれかです。 +<a href="#2016-12-01-details">2016-12-01</a> と <a href="#2016-12-05-details">2016-12-05</a> のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google 端末<em></em>」列に、その問題の影響を受ける、更新対象の Google 端末の種類を記載しています。この列の記載は次のいずれかです。 </p> <ul> - <li><strong>すべての Google 端末</strong>: 問題がすべての端末と Pixel 端末に影響を与える場合、表の「<em>更新対象の Google 端末</em>」列には「すべて」と記載されています。「すべて」には<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">サポート対象の端末</a>(Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 7 (2013)、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。</li> - <li><strong>一部の Google 端末</strong>: 問題が一部の Google 端末のみに影響する場合、「<em>更新対象の Google 端末</em>」列には影響を受ける Google 端末が記載されています。</li> - <li><strong>影響を受ける Google 端末がない</strong>: Android 7.0 を搭載した Google 端末が問題の影響を受けない場合、表の「<em>更新対象の Google 端末</em>」列には「なし」と記載されています。</li> + <li><strong>すべての Google 端末</strong>: 問題がすべての端末と Pixel 端末に影響を与える場合、表の「更新対象の Google 端末<em></em>」列には「すべて」と記載されています。「すべて」には<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">サポート対象の端末</a>(Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。</li> + <li><strong>一部の Google 端末</strong>: 問題が一部の Google 端末のみに影響する場合、「更新対象の Google 端末<em></em>」列には影響を受ける Google 端末が記載されています。</li> + <li><strong>影響を受ける Google 端末がない</strong>: Android 7.0 を搭載した Google 端末が問題の影響を受けない場合、表の「更新対象の Google 端末<em></em>」列には「なし」と記載されています。</li> </ul> <p> -<strong>4. +<strong>4. 「参照」列の項目はどのような情報に関連付けられていますか?</strong> </p> <p> 脆弱性の詳細の表で「参照」列に記載した内容には、その参照番号が属す組織を示す接頭辞を含めている場合があります。<em></em>各接頭辞の意味は以下のとおりです。 </p> <table> - <tr> + <tbody><tr> <th>接頭辞</th> <th>参照</th> </tr> @@ -1972,12 +1663,12 @@ QC-CR#987010</a></td> <td>B-</td> <td>Broadcom の参照番号</td> </tr> -</table> +</tbody></table> <h2 id="revisions">改訂</h2> <ul> <li>2016 年 12 月 5 日: 情報公開</li> - <li>2016 年 12 月 7 日: 情報公開を改訂して AOSP のリンクを追加、CVE-2016-6915、CVE-2016-6916、CVE-2016-6917 の帰属を更新</li> + <li>2016 年 12 月 7 日: 公開情報を改訂し AOSP のリンクを追加、CVE-2016-6915、CVE-2016-6916、CVE-2016-6917 の帰属を更新</li> + <li>2016 年 12 月 21 日: CVE-2016-8411 の説明および一般的な質問と回答にあった誤字脱字を修正</li> </ul> - </body> -</html> +</body></html>
\ No newline at end of file diff --git a/ja/security/bulletin/2017-03-01.html b/ja/security/bulletin/2017-03-01.html index 811b53d4..3474442c 100644 --- a/ja/security/bulletin/2017-03-01.html +++ b/ja/security/bulletin/2017-03-01.html @@ -1,30 +1,30 @@ -<html devsite> - <head> - <title>Android のセキュリティに関する公開情報 - 2017 年 3 月</title> - <meta name="project_path" value="/_project.yaml" /> - <meta name="book_path" value="/_book.yaml" /> +<html devsite><head> + <title>Android のセキュリティに関する公開情報 - 2017 年 3 月</title> + <meta name="project_path" value="/_project.yaml"/> + <meta name="book_path" value="/_book.yaml"/> </head> <body> <!-- - Copyright 2017 The Android Open Source Project + Copyright 2017 The Android Open Source Project - Licensed under the Apache License, Version 2.0 (the "License"); - you may not use this file except in compliance with the License. - You may obtain a copy of the License at + Licensed under the Apache License, Version 2.0 (the "License"); + you may not use this file except in compliance with the License. + You may obtain a copy of the License at - http://www.apache.org/licenses/LICENSE-2.0 + http://www.apache.org/licenses/LICENSE-2.0 - Unless required by applicable law or agreed to in writing, software - distributed under the License is distributed on an "AS IS" BASIS, - WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. - See the License for the specific language governing permissions and - limitations under the License. + Unless required by applicable law or agreed to in writing, software + distributed under the License is distributed on an "AS IS" BASIS, + WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. + See the License for the specific language governing permissions and + limitations under the License. --> + <p><em>2017 年 3 月 6 日公開 | 2017 年 3 月 7 日更新</em></p> -<p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Google 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>でリリースしています。2017 年 3 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。</p> -<p>パートナーには、この公開情報に記載の問題について 2017 年 2 月 6 日までに通知済みです。Android オープンソース プロジェクト(AOSP)レポジトリに、下記の問題に対するソースコードのパッチをリリースしています。この公開情報には AOSP 以外のパッチへのリンクも掲載しています。</p> -<p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。</p> -<p>この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="{@docRoot}security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a> のようなサービスの保護について詳しくは、<a href="#mitigations">Android と Google サービスでのリスク軽減策</a>をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。</p> +<p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Google 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>でリリースしています。2017 年 3 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。</p> +<p>パートナーには、この公開情報に記載の問題について 2017 年 2 月 6 日までに通知済みです。Android オープンソース プロジェクト(AOSP)レポジトリに、下記の問題に対するソースコードのパッチをリリースしています。AOSP 以外のパッチへのリンクも掲載しています。</p> +<p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。</p> +<p>この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a> のようなサービスの保護について詳しくは、<a href="#mitigations">Android と Google サービスでのリスク軽減策</a>をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。</p> <p>ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。</p> <h2 id="announcements">お知らせ</h2> <ul> @@ -36,413 +36,33 @@ </li> <li>サポート対象の Google 端末には、2017 年 3 月 5 日のセキュリティ パッチ レベルのアップデート 1 件が OTA で配信されます。</li> </ul> -<h2 id="security-vulnerability-summary">セキュリティの脆弱性の概要</h2> -<p>下記の表に、セキュリティの脆弱性、その共通脆弱性識別子(CVE)、重大度の判定、Google 端末への影響があるかどうかの一覧を示します。<a href="{@docRoot}security/overview/updates-resources.html#severity">重大度の判定</a>は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的で無効にされるか不正に回避された場合を前提としています。</p> -<h3 id="2017-03-01-summary">セキュリティ パッチ レベル 2017-03-01 の脆弱性の概要</h3> -<p>セキュリティ パッチ レベル 2017-03-01 以降では、下記の問題に対処する必要があります。</p> -<table> - <col width="55%"> - <col width="20%"> - <col width="13%"> - <col width="12%"> - <tr> - <th>問題</th> - <th>CVE</th> - <th>重大度</th> - <th>Google 端末への影響</th> - </tr> - <tr> - <td>OpenSSL と BoringSSL でのリモートコード実行の脆弱性</td> - <td>CVE-2016-2182</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでのリモートコード実行の脆弱性</td> - <td>CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471、CVE-2017-0472、CVE-2017-0473、CVE-2017-0474</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>リカバリ ベリファイアでの権限昇格の脆弱性</td> - <td>CVE-2017-0475</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>AOSP メッセージでのリモートコード実行の脆弱性</td> - <td>CVE-2017-0476</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>libgdx でのリモートコード実行の脆弱性</td> - <td>CVE-2017-0477</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Framesequence ライブラリでのリモートコード実行の脆弱性</td> - <td>CVE-2017-0478</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>NFC での権限昇格の脆弱性</td> - <td>CVE-2017-0481</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>オーディオサーバーでの権限昇格の脆弱性</td> - <td>CVE-2017-0479、CVE-2017-0480</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでのサービス拒否の脆弱性</td> - <td>CVE-2017-0482、CVE-2017-0483、CVE-2017-0484、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0488</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>ロケーション マネージャでの権限昇格の脆弱性</td> - <td>CVE-2017-0489</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Wi-Fi での権限昇格の脆弱性</td> - <td>CVE-2017-0490</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>パッケージ マネージャでの権限昇格の脆弱性</td> - <td>CVE-2017-0491</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>システム UI での権限昇格の脆弱性</td> - <td>CVE-2017-0492</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>AOSP メッセージでの情報開示の脆弱性</td> - <td>CVE-2017-0494</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでの情報開示の脆弱性</td> - <td>CVE-2017-0495</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>セットアップ ウィザードでのサービス拒否の脆弱性</td> - <td>CVE-2017-0496</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>メディアサーバーでのサービス拒否の脆弱性</td> - <td>CVE-2017-0497</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>セットアップ ウィザードでのサービス拒否の脆弱性</td> - <td>CVE-2017-0498</td> - <td>中</td> - <td>なし*</td> - </tr> - <tr> - <td>オーディオサーバーでのサービス拒否の脆弱性</td> - <td>CVE-2017-0499</td> - <td>低</td> - <td>あり</td> - </tr> -</table> -<p>* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> -<h3 id="2017-03-05-summary">セキュリティ パッチ レベル 2017-03-05 の脆弱性の概要</h3> -<p>セキュリティ パッチ レベル 2017-03-05 以降では、2017-03-01 に関連するすべての問題に加えて、下記の問題に対処する必要があります。</p> -<table> - <col width="55%"> - <col width="20%"> - <col width="13%"> - <col width="12%"> - <tr> - <th>問題</th> - <th>CVE</th> - <th>重大度</th> - <th>Google 端末への影響</th> - </tr> - <tr> - <td>MediaTek コンポーネントでの権限昇格の脆弱性</td> - <td>CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0503、CVE-2017-0504、CVE-2017-0505、CVE-2017-0506</td> - <td>重大</td> - <td>なし*</td> - </tr> - <tr> - <td>NVIDIA GPU ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0337、CVE-2017-0338、CVE-2017-0333、CVE-2017-0306、CVE-2017-0335</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル ION サブシステムでの権限昇格の脆弱性</td> - <td>CVE-2017-0507、CVE-2017-0508</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>Broadcom Wi-Fi ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0509</td> - <td>重大</td> - <td>なし*</td> - </tr> - <tr> - <td>カーネル FIQ デバッガでの権限昇格の脆弱性</td> - <td>CVE-2017-0510</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm GPU ドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-8479</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル ネットワーク サブシステムでの権限昇格の脆弱性</td> - <td>CVE-2016-9806、CVE-2016-10200</td> - <td>重大</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm コンポーネントでの脆弱性</td> - <td>CVE-2016-8484、CVE-2016-8485、CVE-2016-8486、CVE-2016-8487、CVE-2016-8488</td> - <td>重大</td> - <td>なし*</td> - </tr> - <tr> - <td>カーネル ネットワーク サブシステムでの権限昇格の脆弱性</td> - <td>CVE-2016-8655、CVE-2016-9793</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm 入力ハードウェア ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0516</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ハードウェア センサー ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0517</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>Qualcomm ADSPRPC ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0457</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm 指紋認証センサー ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0518、CVE-2017-0519</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm crypto エンジン ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0520</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm カメラドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0458、CVE-2017-0521</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek APK での権限昇格の脆弱性</td> - <td>CVE-2017-0522</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0464、CVE-2017-0453、CVE-2017-0523</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Synaptics タッチスクリーン ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0524</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm IPA ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0456、CVE-2017-0525</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>HTC センサーハブ ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0526、CVE-2017-0527</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>NVIDIA GPU ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0307</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>Qualcomm ネットワーク ドライバでの権限昇格の脆弱性</td> - <td>CVE-2017-0463、CVE-2017-0460</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル セキュリティ サブシステムでの権限昇格の脆弱性</td> - <td>CVE-2017-0528</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm SPCom ドライバでの権限昇格の脆弱性</td> - <td>CVE-2016-5856、CVE-2016-5857</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>カーネル ネットワーク サブシステムでの情報開示の脆弱性</td> - <td>CVE-2014-8709</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ドライバでの情報開示の脆弱性</td> - <td>CVE-2017-0529</td> - <td>高</td> - <td>なし*</td> - </tr> - <tr> - <td>Qualcomm ブートローダーでの情報開示の脆弱性</td> - <td>CVE-2017-0455</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm 電源ドライバでの情報開示の脆弱性</td> - <td>CVE-2016-8483</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>NVIDIA GPU ドライバでの情報開示の脆弱性</td> - <td>CVE-2017-0334、CVE-2017-0336</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル暗号化サブシステムでのサービス拒否の脆弱性</td> - <td>CVE-2016-8650</td> - <td>高</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm カメラドライバでの権限昇格の脆弱性(端末固有)</td> - <td>CVE-2016-8417</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm Wi-Fi ドライバでの情報開示の脆弱性</td> - <td>CVE-2017-0461、CVE-2017-0459、CVE-2017-0531</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>MediaTek ビデオ コーデック ドライバでの情報開示の脆弱性</td> - <td>CVE-2017-0532</td> - <td>中</td> - <td>なし*</td> - </tr> - <tr> - <td>Qualcomm ビデオドライバでの情報開示の脆弱性</td> - <td>CVE-2017-0533、CVE-2017-0534、CVE-2016-8416、CVE-2016-8478</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm カメラドライバでの情報開示の脆弱性</td> - <td>CVE-2016-8413、CVE-2016-8477</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>HTC サウンド コーデック ドライバでの情報開示の脆弱性</td> - <td>CVE-2017-0535</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Synaptics タッチスクリーン ドライバでの情報開示の脆弱性</td> - <td>CVE-2017-0536</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>カーネル USB ガジェット ドライバでの情報開示の脆弱性</td> - <td>CVE-2017-0537</td> - <td>中</td> - <td>あり</td> - </tr> - <tr> - <td>Qualcomm カメラドライバでの情報開示の脆弱性</td> - <td>CVE-2017-0452</td> - <td>低</td> - <td>あり</td> - </tr> -</table> -<p>* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> <h2 id="mitigations">Android と Google サービスでのリスク軽減策</h2> -<p>ここでは、<a href="{@docRoot}security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。</p> +<p>ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。</p> <ul> <li>Android プラットフォームの最新版での機能強化により、Android 上の多くの問題について悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新版の Android に更新することをおすすめしています。</li> <li>Android セキュリティ チームは、<a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_2015_Report_Final.pdf">「アプリの確認」や SafetyNet</a> によって脆弱性の悪用を積極的に監視しており、<a href="http://static.googleusercontent.com/media/source.android.com/en//security/reports/Google_Android_Security_PHA_classifications.pdf">有害なおそれのあるアプリ</a>についてユーザーに警告しています。「アプリの確認」は、<a href="http://www.android.com/gms">Google モバイル サービス</a>を搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。端末のルート権限を取得するツールは Google Play では禁止されていますが、「アプリの確認」では、アプリの入手元にかかわらず、ルート権限取得アプリを検出し、インストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。</li> -<li>Google ハングアウトやメッセンジャーのアプリでは状況を判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。</li> +<li>Google ハングアウトやメッセンジャーなどのアプリでは状況を適宜判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。</li> </ul> <h2 id="acknowledgements">謝辞</h2> <p>調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。</p> <ul> -<li>Google Dynamic Tools チームの Alexander Potapenko: CVE-2017-0537<li>Alibaba Mobile Security Group の Baozeng Ding、Chengming Yang、Peng Xiao、Yang Song: CVE-2017-0506<li>Alibaba Mobile Security Group の Baozeng Ding、Ning You、Chengming Yang、Peng Xiao、Yang Song: CVE-2017-0463<li>Android Security の Billy Lau: CVE-2017-0335、CVE-2017-0336、CVE-2017-0338、CVE-2017-0460<li><a href="mailto:derrek.haxx@gmail.com">derrek</a>(<a href="https://twitter.com/derrekr6">@derrekr6</a>): CVE-2016-8413、CVE-2016-8477、CVE-2017-0531<li><a href="mailto:derrek.haxx@gmail.com">derrek</a>(<a href="https://twitter.com/derrekr6">@derrekr6</a>)、<a href="mailto:sbauer@plzdonthack.me">Scott Bauer</a>(<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0521<li>Tencent KeenLab(<a href="https://twitter.com/keen_lab">@keen_lab</a>)の Di Shen(<a href="https://twitter.com/returnsme">@returnsme</a>): CVE-2017-0334、CVE-2017-0456、CVE-2017-0457、CVE-2017-0525<li><a href="http://www.ms509.com">MS509Team</a> の En He(<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>)、Bo Liu: CVE-2017-0490<li>Qihoo 360 Technology Co. Ltd. の IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0503、CVE-2017-0509、CVE-2017-0524、CVE-2017-0529、CVE-2017-0536<li>Qihoo 360 Technology Co. Ltd. の Alpha Team の Hao Chen、Guang Gong: CVE-2017-0453、CVE-2017-0461、CVE-2017-0464<li>Sony Mobile Communications Inc. の Hiroki Yamamoto、Fang Chen: CVE-2017-0481<li>IBM Security X-Force Researcher の Sagi Kedmi、Roee Hay: CVE-2017-0510<li><a href="https://skyeye.360safe.com">Qihoo 360 Skyeye Labs</a> の Jianjun Dai(<a href="https://twitter.com/Jioun_dai">@Jioun_dai</a>): CVE-2017-0478<li>Qihoo 360 IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2016-8416、CVE-2016-8478、CVE-2017-0458、CVE-2017-0459、CVE-2017-0518、CVE-2017-0519、CVE-2017-0533、CVE-2017-0534<li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:zlbzlb815@163.com">Lubo Zhang</a>、<a href="mailto:segfault5514@gmail.com">Tong Lin</a>、<a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、Xuxian Jiang: CVE-2016-8479<li>Google の大貫誠: CVE-2017-0491<li><a href="http://c0reteam.org">C0RE Team</a> の Mingjian Zhou(<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)、<a href="mailto:arnow117@gmail.com">Hanxiang Wen</a>、Xuxian Jiang: CVE-2017-0479、CVE-2017-0480<li>Nathan Crandall(<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0535<li>Tesla Motors Product Security Team の Nathan Crandall(<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0306<li>Baidu X-Lab(百度安全实验室)の Pengfei Ding(丁鹏飞)、Chenfu Bao(包沉浮)、Lenx Wei(韦韬): CVE-2016-8417<li>Tencent KeenLab の Qidan He(何淇丹)(<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>): CVE-2017-0337、CVE-2017-0476<li>Qihoo 360 の Qing Zhang、Singapore Institute of Technology(SIT)の Guangdong Bai: CVE-2017-0496<li>Ant-financial Light-Year Security Lab(蚂蚁金服巴斯光年安全实验室)の Quhe、wanchouchou: CVE-2017-0522<li>DarkMatter Secure Communications の <a href="mailto:keun-o.park@darkmatter.ae">Sahara</a>: CVE-2017-0528<li>UC Santa Barbara Shellphish Grill Team の salls(<a href="https://twitter.com/chris_salls">@chris_salls</a>): CVE-2017-0505<li><a href="mailto:sbauer@plzdonthack.me">Scott Bauer</a>(<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0504、CVE-2017-0516<li>Sean Beaupre(beaups): CVE-2017-0455<li>Trend Micro の Seven Shen(<a href="https://twitter.com/lingtongshen">@lingtongshen</a>): CVE-2017-0452<li>Fujitsu の Shinichi Matsumoto: CVE-2017-0498<li><a href="http://www.byterev.com">ByteRev</a> の <a href="mailto:smarques84@gmail.com">Stéphane Marques</a>: CVE-2017-0489<li>Google の Svetoslav Ganov: CVE-2017-0492<li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:segfault5514@gmail.com">Tong Lin</a>、<a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、Xuxian Jiang: CVE-2017-0333<li><a href="http://www.trendmicro.com">Trend Micro</a> <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">Mobile Threat Response Team</a> の V.E.O(<a href="https://twitter.com/vysea">@VYSEa</a>): CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471、CVE-2017-0472、CVE-2017-0473、CVE-2017-0482、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0494、CVE-2017-0495<li>Ant-financial Light-Year Security Lab(蚂蚁金服巴斯光年安全实验室)の Wish Wu(吴潍浠 此彼)(<a href="https://twitter.com/wish_wu">@wish_wu</a>): CVE-2017-0477<li>Qihoo 360 Technology Co. Ltd の Vulpecker Team の Yu Pan: CVE-2017-0517、CVE-2017-0532<li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、Xuxian Jiang: CVE-2017-0526、CVE-2017-0527<li><a href="http://c0reteam.org">C0RE Team</a> の Yuqi Lu(<a href="https://twitter.com/nikos233__">@nikos233</a>)、<a href="mailto:vancouverdou@gmail.com">Wenke Dou</a>、<a href="mailto:shaodacheng2016@gmail.com">Dacheng Shao</a>、Mingjian Zhou(<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)、Xuxian Jiang: CVE-2017-0483</li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></li></ul> +<li>Google Dynamic Tools チームの Alexander Potapenko: CVE-2017-0537</li><li>Alibaba Mobile Security Group の Baozeng Ding、Chengming Yang、Peng Xiao、Yang Song: CVE-2017-0506</li><li>Alibaba Mobile Security Group の Baozeng Ding、Ning You、Chengming Yang、Peng Xiao、Yang Song: CVE-2017-0463</li><li>Android Security の Billy Lau: CVE-2017-0335、CVE-2017-0336、CVE-2017-0338、CVE-2017-0460</li><li><a href="mailto:derrek.haxx@gmail.com">derrek</a>(<a href="https://twitter.com/derrekr6">@derrekr6</a>): CVE-2016-8413、CVE-2016-8477、CVE-2017-0531</li><li><a href="mailto:derrek.haxx@gmail.com">derrek</a>(<a href="https://twitter.com/derrekr6">@derrekr6</a>)、<a href="mailto:sbauer@plzdonthack.me">Scott Bauer</a>(<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0521</li><li>Tencent KeenLab(<a href="https://twitter.com/keen_lab">@keen_lab</a>)の Di Shen(<a href="https://twitter.com/returnsme">@returnsme</a>): CVE-2017-0334、CVE-2017-0456、CVE-2017-0457、CVE-2017-0525</li><li><a href="http://www.ms509.com">MS509Team</a> の En He(<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>)、Bo Liu: CVE-2017-0490</li><li>Qihoo 360 Technology Co. Ltd. IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0503、CVE-2017-0509、CVE-2017-0524、CVE-2017-0529、CVE-2017-0536</li><li>Qihoo 360 Technology Co. Ltd. の Alpha Team の Hao Chen、Guang Gong: CVE-2017-0453、CVE-2017-0461、CVE-2017-0464</li><li>Sony Mobile Communications Inc. の Hiroki Yamamoto、Fang Chen: CVE-2017-0481</li><li>IBM Security X-Force Researcher の Sagi Kedmi、Roee Hay: CVE-2017-0510</li><li><a href="https://skyeye.360safe.com">Qihoo 360 Skyeye Labs</a> の Jianjun Dai(<a href="https://twitter.com/Jioun_dai">@Jioun_dai</a>): CVE-2017-0478</li><li>Qihoo 360 IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2016-8416、CVE-2016-8478、CVE-2017-0458、CVE-2017-0459、CVE-2017-0518、CVE-2017-0519、CVE-2017-0533、CVE-2017-0534</li><li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:zlbzlb815@163.com">Lubo Zhang</a>、<a href="mailto:segfault5514@gmail.com">Tong Lin</a>、<a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、Xuxian Jiang: CVE-2016-8479</li><li>Google の大貫誠: CVE-2017-0491</li><li><a href="http://c0reteam.org">C0RE Team</a> の Mingjian Zhou(<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)、<a href="mailto:arnow117@gmail.com">Hanxiang Wen</a>、Xuxian Jiang: CVE-2017-0479、CVE-2017-0480</li><li>Nathan Crandall(<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0535</li><li>Tesla Motors Product Security Team の Nathan Crandall(<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0306</li><li>Baidu X-Lab(百度安全实验室)の Pengfei Ding(丁鹏飞)、Chenfu Bao(包沉浮)、Lenx Wei(韦韬): CVE-2016-8417</li><li>Tencent KeenLab の Qidan He(何淇丹)(<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>): CVE-2017-0337、CVE-2017-0476</li><li>Qihoo 360 の Qing Zhang、Singapore Institute of Technology(SIT)の Guangdong Bai: CVE-2017-0496</li><li>Ant-financial Light-Year Security Lab(蚂蚁金服巴斯光年安全实验室)の Quhe、wanchouchou: CVE-2017-0522</li><li>DarkMatter Secure Communications の <a href="mailto:keun-o.park@darkmatter.ae">Sahara</a>: CVE-2017-0528</li><li>UC Santa Barbara Shellphish Grill Team の salls(<a href="https://twitter.com/chris_salls">@chris_salls</a>): CVE-2017-0505</li><li><a href="mailto:sbauer@plzdonthack.me">Scott Bauer</a>(<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0504、CVE-2017-0516</li><li>Sean Beaupre(beaups): CVE-2017-0455</li><li>Trend Micro の Seven Shen(<a href="https://twitter.com/lingtongshen">@lingtongshen</a>): CVE-2017-0452</li><li>Fujitsu の Shinichi Matsumoto: CVE-2017-0498</li><li><a href="http://www.byterev.com">ByteRev</a> の <a href="mailto:smarques84@gmail.com">Stéphane Marques</a>: CVE-2017-0489</li><li>Google の Svetoslav Ganov: CVE-2017-0492</li><li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:segfault5514@gmail.com">Tong Lin</a>、<a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、Xuxian Jiang: CVE-2017-0333</li><li><a href="http://www.trendmicro.com">Trend Micro</a> <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">Mobile Threat Response Team</a> の V.E.O(<a href="https://twitter.com/vysea">@VYSEa</a>): CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471、CVE-2017-0472、CVE-2017-0473、CVE-2017-0482、CVE-2017-0484、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0494、CVE-2017-0495</li><li>Ant-financial Light-Year Security Lab(蚂蚁金服巴斯光年安全实验室)の Wish Wu(吴潍浠 此彼)(<a href="https://twitter.com/wish_wu">@wish_wu</a>): CVE-2017-0477</li><li>Qihoo 360 Technology Co. Ltd の Vulpecker Team の Yu Pan: CVE-2017-0517、CVE-2017-0532</li><li><a href="http://c0reteam.org">C0RE Team</a> の <a href="mailto:computernik@gmail.com">Yuan-Tsung Lo</a>、Xuxian Jiang: CVE-2017-0526、CVE-2017-0527</li><li><a href="http://c0reteam.org">C0RE Team</a> の Yuqi Lu(<a href="https://twitter.com/nikos233__">@nikos233</a>)、<a href="mailto:vancouverdou@gmail.com">Wenke Dou</a>、<a href="mailto:shaodacheng2016@gmail.com">Dacheng Shao</a>、Mingjian Zhou(<a href="https://twitter.com/Mingjian_Zhou">@Mingjian_Zhou</a>)、Xuxian Jiang: CVE-2017-0483</li> +<li>Qihoo 360 Technology Co. Ltd. Chengdu Security Response Center の Zinuo Han(<a href="https://weibo.com/ele7enxxh">weibo.com/ele7enxxh</a>): CVE-2017-0475、CVE-2017-0497</li></ul> <h2 id="2017-03-01-details">セキュリティ パッチ レベル 2017-03-01 の脆弱性の詳細</h2> -<p>上記の<a href="#2017-03-01-summary">セキュリティ パッチ レベル 2017-03-01 の脆弱性の概要</a>で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> - +<p>パッチレベル 2017-03-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> -<h3 id="rce-in-openssl-&-boringssl">OpenSSL と BoringSSL でのリモートコード実行の脆弱性</h3> +<h3 id="rce-in-openssl-&-boringssl">OpenSSL と BoringSSL でのリモートコード実行の脆弱性</h3> <p>OpenSSL と BoringSSL にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。特権プロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は重大と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -459,20 +79,19 @@ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 8 月 5 日</td> </tr> -</table> - +</tbody></table> <h3 id="rce-in-mediaserver-">メディアサーバーでのリモートコード実行の脆弱性</h3> <p>メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -564,19 +183,19 @@ <td>7.0、7.1.1</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <h3 id="eop-in-recovery-verifier">リカバリ ベリファイアでの権限昇格の脆弱性</h3> <p>リカバリ ベリファイアに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -593,20 +212,19 @@ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 10 月 2 日</td> </tr> -</table> - +</tbody></table> <h3 id="rce-in-aosp-messaging">AOSP メッセージでのリモートコード実行の脆弱性</h3> <p>AOSP メッセージにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。権限のないプロセス内でリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -623,20 +241,19 @@ <td>6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 12 月 6 日</td> </tr> -</table> - +</tbody></table> <h3 id="rce-in-libgdx">libgdx でのリモートコード実行の脆弱性</h3> <p>libgdx にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、権限のないプロセス内で任意のコードを実行するおそれがあります。このライブラリを使用するアプリでリモートコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -653,20 +270,19 @@ <td>7.1.1</td> <td>2016 年 12 月 14 日</td> </tr> -</table> - +</tbody></table> <h3 id="rce-in-framesequence-library">Framesequence ライブラリでのリモートコード実行の脆弱性</h3> <p>Framesequence ライブラリにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、権限のないプロセス内で任意のコードを実行するおそれがあります。Framesequence ライブラリを使用するアプリでリモートコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -683,19 +299,19 @@ <td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 12 月 16 日</td> </tr> -</table> +</tbody></table> <h3 id="eop-in-nfc">NFC での権限昇格の脆弱性</h3> <p>NFC に権限昇格の脆弱性があるため、近くにいる攻撃者によって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -712,19 +328,19 @@ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 11 月 6 日</td> </tr> -</table> +</tbody></table> <h3 id="eop-in-audioserver">オーディオサーバーでの権限昇格の脆弱性</h3> <p>オーディオサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -754,20 +370,19 @@ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 11 月 7 日</td> </tr> -</table> - +</tbody></table> <h3 id="dos-in-mediaserver">メディアサーバーでのサービス拒否の脆弱性</h3> <p>メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -845,19 +460,19 @@ <td>6.0、6.0.1、7.0、7.1.1</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <h3 id="eop-in-location-manager">ロケーション マネージャでの権限昇格の脆弱性</h3> <p>ロケーション マネージャに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、位置情報に対するオペレーティング システムの保護が回避されるおそれがあります。不正確なデータの生成に利用されるおそれがあるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -874,20 +489,19 @@ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 11 月 20 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-wi-fi">Wi-Fi での権限昇格の脆弱性</h3> <p>Wi-Fi に権限昇格の脆弱性があるため、悪意のあるローカルアプリによってユーザーデータが削除されるおそれがあります。ユーザー操作の要件(通常はユーザーによる操作か許可が必要)がローカルで回避されるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -907,20 +521,19 @@ <td>6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 11 月 25 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-package-manager">パッケージ マネージャでの権限昇格の脆弱性</h3> <p>パッケージ マネージャに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、ユーザーによるアプリのアンインストールやアプリの権限の削除が阻止されるおそれがあります。ユーザー操作の要件がローカルで回避されるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -938,20 +551,19 @@ <td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td> <td>Google 社内</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-system-ui">システム UI での権限昇格の脆弱性</h3> <p>システム UI に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、画面全体を覆う UI オーバーレイが作成されるおそれがあります。ユーザー操作の要件(通常はユーザーによる操作か許可が必要)がローカルで回避されるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -969,20 +581,19 @@ <td>7.1.1</td> <td>Google 社内</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-aosp-messaging">AOSP メッセージでの情報開示の脆弱性</h3> <p>AOSP メッセージに情報開示の脆弱性があるため、リモートの攻撃者が特別に細工したファイルを使用して、権限レベルの範囲外のデータにアクセスするおそれがあります。許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -999,20 +610,19 @@ <td>6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 11 月 9 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-mediaserver">メディアサーバーでの情報開示の脆弱性</h3> <p>メディアサーバーに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。許可を得ずに機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1029,20 +639,19 @@ <td>6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 12 月 11 日</td> </tr> -</table> - +</tbody></table> <h3 id="dos-in-setup-wizard">セットアップ ウィザードでのサービス拒否の脆弱性</h3> <p>セットアップ ウィザードにサービス拒否の脆弱性があり、悪意のあるローカルアプリが攻撃対象の端末へのアクセスを一時的にブロックできるおそれがあります。端末を修復するにはデータの初期化が必要になる可能性があるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1058,7 +667,7 @@ <td>5.0.2、5.1.1、6.0、6.0.1</td> <td>2016 年 9 月 14 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Google 端末用最新バイナリ ドライバに含まれています。</p> <p>** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> @@ -1066,13 +675,13 @@ <p>メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。一般的でない端末設定が必要なため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1089,20 +698,19 @@ <td>7.0、7.1.1</td> <td>2016 年 12 月 2 日</td> </tr> -</table> - +</tbody></table> <h3 id="dos-in-setup-wizard-2">セットアップ ウィザードでのサービス拒否の脆弱性</h3> <p>セットアップ ウィザードにサービス拒否の脆弱性があるため、ローカルの攻撃者によって、データの初期化後に Google アカウントへのログインが要求されるおそれがあります。端末を修復するにはデータの初期化が必要になる可能性があるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1121,20 +729,19 @@ <td>5.1.1、6.0、6.0.1、7.0、7.1.1</td> <td>Google 社内</td> </tr> -</table> - +</tbody></table> <h3 id="dos-in-audioserver">オーディオサーバーでのサービス拒否の脆弱性</h3> <p>オーディオサーバーにサービス拒否の脆弱性があるため、悪意のあるローカルアプリが端末のハングや再起動を引き起こすおそれがあります。一時的なサービス拒否のおそれがあるため、この問題の重大度は「低」と判断されています。</p> <table> - <col width="18%"> - <col width="17%"> - <col width="10%"> - <col width="19%"> - <col width="18%"> - <col width="17%"> - <tr> + <colgroup><col width="18%" /> + <col width="17%" /> + <col width="10%" /> + <col width="19%" /> + <col width="18%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1151,23 +758,21 @@ <td>5.1.1、6.0、6.0.1、7.0、7.1.1</td> <td>2016 年 10 月 11 日</td> </tr> -</table> - +</tbody></table> <h2 id="2017-03-05-details">セキュリティ パッチ レベル 2017-03-05 の脆弱性の詳細</h2> -<p>上記の<a href="#2017-03-05-summary">セキュリティ パッチ レベル 2017-03-05 の脆弱性の概要</a>で一覧に挙げた各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> - +<p>パッチレベル 2017-03-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> <h3 id="eop-in-mediatek-components">MediaTek コンポーネントでの権限昇格の脆弱性</h3> <p>M4U ドライバ、サウンド ドライバ、タッチスクリーン ドライバ、GPU ドライバ、コマンドキュー ドライバなどの MediaTek コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1176,7 +781,7 @@ </tr> <tr> <td>CVE-2017-0500</td> - <td>A-28429685*<br> + <td>A-28429685*<br /> M-ALPS02710006</td> <td>重大</td> <td>なし**</td> @@ -1184,7 +789,7 @@ </tr> <tr> <td>CVE-2017-0501</td> - <td>A-28430015*<br> + <td>A-28430015*<br /> M-ALPS02708983</td> <td>重大</td> <td>なし**</td> @@ -1192,7 +797,7 @@ </tr> <tr> <td>CVE-2017-0502</td> - <td>A-28430164*<br> + <td>A-28430164*<br /> M-ALPS02710027</td> <td>重大</td> <td>なし**</td> @@ -1200,7 +805,7 @@ </tr> <tr> <td>CVE-2017-0503</td> - <td>A-28449045*<br> + <td>A-28449045*<br /> M-ALPS02710075</td> <td>重大</td> <td>なし**</td> @@ -1208,7 +813,7 @@ </tr> <tr> <td>CVE-2017-0504</td> - <td>A-30074628*<br> + <td>A-30074628*<br /> M-ALPS02829371</td> <td>重大</td> <td>なし**</td> @@ -1216,7 +821,7 @@ </tr> <tr> <td>CVE-2017-0505</td> - <td>A-31822282*<br> + <td>A-31822282*<br /> M-ALPS02992041</td> <td>重大</td> <td>なし**</td> @@ -1224,27 +829,26 @@ </tr> <tr> <td>CVE-2017-0506</td> - <td>A-32276718*<br> + <td>A-32276718*<br /> M-ALPS03006904</td> <td>重大</td> <td>なし**</td> <td>2016 年 10 月 18 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <p>** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="eop-in-nvidia-gpu-driver">NVIDIA GPU ドライバでの権限昇格の脆弱性</h3> <p>NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1253,7 +857,7 @@ </tr> <tr> <td>CVE-2017-0337</td> - <td>A-31992762*<br> + <td>A-31992762*<br /> N-CVE-2017-0337</td> <td>重大</td> <td>Pixel C</td> @@ -1261,7 +865,7 @@ </tr> <tr> <td>CVE-2017-0338</td> - <td>A-33057977*<br> + <td>A-33057977*<br /> N-CVE-2017-0338</td> <td>重大</td> <td>Pixel C</td> @@ -1269,7 +873,7 @@ </tr> <tr> <td>CVE-2017-0333</td> - <td>A-33899363*<br> + <td>A-33899363*<br /> N-CVE-2017-0333</td> <td>重大</td> <td>Pixel C</td> @@ -1277,7 +881,7 @@ </tr> <tr> <td>CVE-2017-0306</td> - <td>A-34132950*<br> + <td>A-34132950*<br /> N-CVE-2017-0306</td> <td>重大</td> <td>Nexus 9</td> @@ -1285,26 +889,25 @@ </tr> <tr> <td>CVE-2017-0335</td> - <td>A-33043375*<br> + <td>A-33043375*<br /> N-CVE-2017-0335</td> <td>重大</td> <td>Pixel C</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-kernel-ion-subsystem">カーネル ION サブシステムでの権限昇格の脆弱性</h3> <p>カーネル ION サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1325,20 +928,19 @@ <td>Pixel C</td> <td>2016 年 12 月 28 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-broadcom-wi-fi-driver">Broadcom Wi-Fi ドライバでの権限昇格の脆弱性</h3> <p>Broadcom Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1347,27 +949,26 @@ </tr> <tr> <td>CVE-2017-0509</td> - <td>A-32124445*<br> + <td>A-32124445*<br /> B-RB#110688</td> <td>重大</td> <td>なし**</td> <td>2016 年 10 月 12 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <p>** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="eop-in-kernel-fiq-debugger">カーネル FIQ デバッガでの権限昇格の脆弱性</h3> <p>カーネル FIQ デバッガに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1381,20 +982,19 @@ <td>Nexus 9</td> <td>2016 年 10 月 25 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-qualcomm-gpu-driver">Qualcomm GPU ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1403,26 +1003,25 @@ </tr> <tr> <td>CVE-2016-8479</td> - <td>A-31824853*<br> + <td>A-31824853*<br /> QC-CR#1093687</td> <td>重大</td> <td>Android One、Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL</td> <td>2016 年 9 月 29 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-kernel-networking-subsystem">カーネル ネットワーク サブシステムでの権限昇格の脆弱性</h3> <p>カーネル ネットワーク サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1431,7 +1030,7 @@ </tr> <tr> <td>CVE-2016-9806</td> - <td>A-33393474<br> + <td>A-33393474<br /> <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=92964c79b357efd980812c4de5c1fd2ec8bb5520"> アップストリーム カーネル</a></td> <td>重大</td> @@ -1440,26 +1039,25 @@ </tr> <tr> <td>CVE-2016-10200</td> - <td>A-33753815<br> + <td>A-33753815<br /> <a href="https://git.kernel.org/cgit/linux/kernel/git/stable/linux-stable.git/commit/?id=32c231164b762dddefa13af5a0101032c70b50ef"> アップストリーム カーネル</a></td> <td>重大</td> <td>Nexus 5X、Nexus 6P、Pixel、Pixel XL</td> <td>2016 年 12 月 19 日</td> </tr> -</table> - +</tbody></table> <h3 id="vulnerabilities-in-qualcomm-components">Qualcomm コンポーネントでの脆弱性</h3> <p>下記の表に Qualcomm コンポーネントに影響する脆弱性を示します。詳細については、Qualcomm AMSS の 2016 年 9 月のセキュリティに関する公開情報をご覧ください。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1501,22 +1099,21 @@ <td>なし***</td> <td>Qualcomm 社内</td> </tr> -</table> +</tbody></table> <p>* この一連の問題の重大度はベンダーが決定したものです。</p> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <p>*** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="eop-in-kernel-networking-subsystem-2">カーネル ネットワーク サブシステムでの権限昇格の脆弱性</h3> <p>カーネル ネットワーク サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1525,7 +1122,7 @@ </tr> <tr> <td>CVE-2016-8655</td> - <td>A-33358926<br> + <td>A-33358926<br /> <a href="https://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=84ac7260236a49c79eede91617700174c2c19b0c"> アップストリーム カーネル</a></td> <td>高</td> @@ -1534,26 +1131,25 @@ </tr> <tr> <td>CVE-2016-9793</td> - <td>A-33363517<br> + <td>A-33363517<br /> <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=b98b0bc8c431e3ceb4b26b0dfc8db509518fb290"> アップストリーム カーネル</a></td> <td>高</td> <td>Android One、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Pixel、Pixel XL</td> <td>2016 年 12 月 2 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-qualcomm-input-hardware-driver">Qualcomm 入力ハードウェア ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm 入力ハードウェア ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1562,26 +1158,25 @@ </tr> <tr> <td>CVE-2017-0516</td> - <td>A-32341680*<br> + <td>A-32341680*<br /> QC-CR#1096301</td> <td>高</td> <td>Android One、Pixel、Pixel XL</td> <td>2016 年 10 月 21 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-mediatek-hardware-sensor-driver">MediaTek ハードウェア センサー ドライバでの権限昇格の脆弱性</h3> <p>MediaTek ハードウェア センサー ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1590,27 +1185,26 @@ </tr> <tr> <td>CVE-2017-0517</td> - <td>A-32372051*<br> + <td>A-32372051*<br /> M-ALPS02973195</td> <td>高</td> <td>なし**</td> <td>2016 年 10 月 22 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <p>** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="eop-in-qualcomm-adsprpc-driver">Qualcomm ADSPRPC ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm ADSPRPC ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1619,27 +1213,26 @@ </tr> <tr> <td>CVE-2017-0457</td> - <td>A-31695439*<br> - QC-CR#1086123<br> + <td>A-31695439*<br /> + QC-CR#1086123<br /> QC-CR#1100695</td> <td>高</td> <td>Nexus 5X、Nexus 6P、Pixel、Pixel XL</td> <td>2016 年 9 月 22 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-qualcomm-fingerprint-sensor-driver">Qualcomm 指紋認証センサー ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm 指紋認証センサー ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1648,7 +1241,7 @@ </tr> <tr> <td>CVE-2017-0518</td> - <td>A-32370896*<br> + <td>A-32370896*<br /> QC-CR#1086530</td> <td>高</td> <td>Pixel、Pixel XL</td> @@ -1656,26 +1249,25 @@ </tr> <tr> <td>CVE-2017-0519</td> - <td>A-32372915*<br> + <td>A-32372915*<br /> QC-CR#1086530</td> <td>高</td> <td>Pixel、Pixel XL</td> <td>2016 年 10 月 24 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-qualcomm-crypto-engine-driver">Qualcomm crypto エンジン ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm crypto エンジン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1684,26 +1276,25 @@ </tr> <tr> <td>CVE-2017-0520</td> - <td>A-31750232<br> + <td>A-31750232<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=eb2aad752c43f57e88ab9b0c3c5ee7b976ee31dd"> QC-CR#1082636</a></td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL</td> <td>2016 年 9 月 24 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-qualcomm-camera-driver">Qualcomm カメラドライバでの権限昇格の脆弱性</h3> <p>Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1712,7 +1303,7 @@ QC-CR#1082636</a></td> </tr> <tr> <td>CVE-2017-0458</td> - <td>A-32588962<br> + <td>A-32588962<br /> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=eba46cb98431ba1d7a6bd859f26f6ad03f1bf4d4"> QC-CR#1089433</a></td> <td>高</td> @@ -1721,26 +1312,25 @@ QC-CR#1089433</a></td> </tr> <tr> <td>CVE-2017-0521</td> - <td>A-32919951<br> + <td>A-32919951<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=dbe4f26f200db10deaf38676b96d8738afcc10c8"> QC-CR#1097709</a></td> <td>高</td> <td>Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL</td> <td>2016 年 11 月 15 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-mediatek-apk">MediaTek APK での権限昇格の脆弱性</h3> <p>MediaTek APK に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。特権プロセスで任意のコードがローカルに実行されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1749,27 +1339,26 @@ QC-CR#1097709</a></td> </tr> <tr> <td>CVE-2017-0522</td> - <td>A-32916158*<br> + <td>A-32916158*<br /> M-ALPS03032516</td> <td>高</td> <td>なし**</td> <td>2016 年 11 月 15 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <p>** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="eop-in-qualcomm-wi-fi-driver">Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1778,7 +1367,7 @@ QC-CR#1097709</a></td> </tr> <tr> <td>CVE-2017-0464</td> - <td>A-32940193<br> + <td>A-32940193<br /> <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=051597a4fe19fd1292fb7ea2e627d12d1fd2934f"> QC-CR#1102593</a></td> <td>高</td> @@ -1787,7 +1376,7 @@ QC-CR#1102593</a></td> </tr> <tr> <td>CVE-2017-0453</td> - <td>A-33979145<br> + <td>A-33979145<br /> <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=05af1f34723939f477cb7d25adb320d016d68513"> QC-CR#1105085</a></td> <td>高</td> @@ -1796,27 +1385,26 @@ QC-CR#1105085</a></td> </tr> <tr> <td>CVE-2017-0523</td> - <td>A-32835279<br> + <td>A-32835279<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=5bb646471da76d3d5cd02cf3da7a03ce6e3cb582"> QC-CR#1096945</a></td> <td>高</td> <td>なし*</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <p>* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="eop-in-synaptics-touchscreen-driver">Synaptics タッチスクリーン ドライバでの権限昇格の脆弱性</h3> <p>Synaptics タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1830,20 +1418,19 @@ QC-CR#1096945</a></td> <td>Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL</td> <td>2016 年 11 月 18 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-qualcomm-ipa-driver">Qualcomm IPA ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm IPA ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1852,7 +1439,7 @@ QC-CR#1096945</a></td> </tr> <tr> <td>CVE-2017-0456</td> - <td>A-33106520*<br> + <td>A-33106520*<br /> QC-CR#1099598</td> <td>高</td> <td>Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL</td> @@ -1860,26 +1447,25 @@ QC-CR#1096945</a></td> </tr> <tr> <td>CVE-2017-0525</td> - <td>A-33139056*<br> + <td>A-33139056*<br /> QC-CR#1097714</td> <td>高</td> <td>Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL</td> <td>2016 年 11 月 25 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-htc-sensor-hub-driver">HTC センサーハブ ドライバでの権限昇格の脆弱性</h3> <p>HTC センサーハブ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1900,20 +1486,19 @@ QC-CR#1096945</a></td> <td>Nexus 9、Pixel、Pixel XL</td> <td>2016 年 12 月 25 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-nvidia-gpu-driver-2">NVIDIA GPU ドライバでの権限昇格の脆弱性</h3> <p>NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1922,27 +1507,26 @@ QC-CR#1096945</a></td> </tr> <tr> <td>CVE-2017-0307</td> - <td>A-33177895*<br> + <td>A-33177895*<br /> N-CVE-2017-0307</td> <td>高</td> <td>なし**</td> <td>2016 年 11 月 28 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <p>** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="eop-in-qualcomm-networking-driver">Qualcomm ネットワーク ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm ネットワーク ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1951,7 +1535,7 @@ QC-CR#1096945</a></td> </tr> <tr> <td>CVE-2017-0463</td> - <td>A-33277611<br> + <td>A-33277611<br /> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=955bd7e7ac097bdffbadafab90e5378038fefeb2"> QC-CR#1101792</a></td> <td>高</td> @@ -1960,26 +1544,25 @@ QC-CR#1101792</a></td> </tr> <tr> <td>CVE-2017-0460 </td> - <td>A-31252965*<br> + <td>A-31252965*<br /> QC-CR#1098801</td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-kernel-security-subsystem">カーネル セキュリティ サブシステムでの権限昇格の脆弱性</h3> <p>カーネル セキュリティ サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内でコードが実行されるおそれがあります。カーネルレベルの多重防御または悪用対策技術を迂回する一般的な方法であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -1993,20 +1576,19 @@ QC-CR#1101792</a></td> <td>Pixel、Pixel XL</td> <td>2016 年 12 月 4 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="eop-in-qualcomm-spcom-driver">Qualcomm SPCom ドライバでの権限昇格の脆弱性</h3> <p>Qualcomm SPCom ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2015,7 +1597,7 @@ QC-CR#1101792</a></td> </tr> <tr> <td>CVE-2016-5856</td> - <td>A-32610665<br> + <td>A-32610665<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=0c0622914ba53cdcb6e79e85f64bfdf7762c0368"> QC-CR#1094078</a></td> <td>高</td> @@ -2024,27 +1606,26 @@ QC-CR#1094078</a></td> </tr> <tr> <td>CVE-2016-5857</td> - <td>A-34386529<br> + <td>A-34386529<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-4.4/commit/?id=d9d2c405d46ca27b25ed55a8dbd02bd1e633e2d5"> QC-CR#1094140</a></td> <td>高</td> <td>なし*</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <p>* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="id-in-kernel-networking-subsystem">カーネル ネットワーク サブシステムでの情報開示の脆弱性</h3> <p>カーネル ネットワーク サブシステムに情報開示の脆弱性があるため、端末の近くにいる攻撃者が機密情報にアクセスするおそれがあります。許可を得ずにデータにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2053,26 +1634,25 @@ QC-CR#1094140</a></td> </tr> <tr> <td>CVE-2014-8709</td> - <td>A-34077221<br> + <td>A-34077221<br /> <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=338f977f4eb441e69bb9a46eaa0ac715c931a67f"> アップストリーム カーネル</a></td> <td>高</td> <td>Nexus Player</td> <td>2014 年 11 月 9 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-mediatek-driver">MediaTek ドライバでの情報開示の脆弱性</h3> <p>MediaTek ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2081,27 +1661,26 @@ QC-CR#1094140</a></td> </tr> <tr> <td>CVE-2017-0529</td> - <td>A-28449427*<br> + <td>A-28449427*<br /> M-ALPS02710042</td> <td>高</td> <td>なし**</td> <td>2016 年 4 月 27 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <p>** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="id-in-qualcomm-bootloader">Qualcomm ブートローダーでの情報開示の脆弱性</h3> <p>Qualcomm ブートローダーに情報開示の脆弱性があるため、悪意のあるローカルアプリによってブートローダー内で任意のコードが実行されるおそれがあります。ブートローダー レベルの多重防御または悪用対策技術を迂回する一般的な方法であるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2110,26 +1689,25 @@ QC-CR#1094140</a></td> </tr> <tr> <td>CVE-2017-0455</td> - <td>A-32370952<br> + <td>A-32370952<br /> <a href="https://source.codeaurora.org/quic/la/kernel/lk/commit/?id=2c00928b4884fdb0b1661bcc530d7e68c9561a2f"> QC-CR#1082755</a></td> <td>高</td> <td>Pixel、Pixel XL</td> <td>2016 年 10 月 21 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-qualcomm-power-driver">Qualcomm 電源ドライバでの情報開示の脆弱性</h3> <p>Qualcomm 電源ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2138,26 +1716,25 @@ QC-CR#1082755</a></td> </tr> <tr> <td>CVE-2016-8483</td> - <td>A-33745862<br> + <td>A-33745862<br /> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=6997dcb7ade1315474855821e64782205cb0b53a"> QC-CR#1035099</a></td> <td>高</td> <td>Nexus 5X、Nexus 6P</td> <td>2016 年 12 月 19 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-nvidia-gpu-driver">NVIDIA GPU ドライバでの情報開示の脆弱性</h3> <p>NVIDIA GPU ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに、機密データにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2166,7 +1743,7 @@ QC-CR#1035099</a></td> </tr> <tr> <td>CVE-2017-0334</td> - <td>A-33245849*<br> + <td>A-33245849*<br /> N-CVE-2017-0334</td> <td>高</td> <td>Pixel C</td> @@ -2174,26 +1751,25 @@ QC-CR#1035099</a></td> </tr> <tr> <td>CVE-2017-0336</td> - <td>A-33042679*<br> + <td>A-33042679*<br /> N-CVE-2017-0336</td> <td>高</td> <td>Pixel C</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="dos-in-kernel-cryptographic-subsystem">カーネル暗号化サブシステムでのサービス拒否の脆弱性</h3> <p>カーネル暗号化サブシステムにサービス拒否の脆弱性があるため、リモートの攻撃者が特別に細工したネットワーク パケットを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2202,26 +1778,25 @@ QC-CR#1035099</a></td> </tr> <tr> <td>CVE-2016-8650</td> - <td>A-33401771<br> + <td>A-33401771<br /> <a href="http://git.kernel.org/cgit/linux/kernel/git/torvalds/linux.git/commit/?id=f5527fffff3f002b0a6b376163613b82f69de073"> アップストリーム カーネル</a></td> <td>高</td> <td>Nexus 5X、Nexus 6P、Pixel、Pixel XL</td> <td>2016 年 10 月 12 日</td> </tr> -</table> - +</tbody></table> <h3 id="eop-in-qualcomm-camera-driver-(device-specific)">Qualcomm カメラドライバでの権限昇格の脆弱性(端末固有)</h3> <p>Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であり、現在のプラットフォーム構成によってリスクが軽減されているため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2230,26 +1805,25 @@ QC-CR#1035099</a></td> </tr> <tr> <td>CVE-2016-8417</td> - <td>A-32342399<br> + <td>A-32342399<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=01dcc0a7cc23f23a89adf72393d5a27c6d576cd0"> QC-CR#1088824</a></td> <td>中</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL</td> <td>2016 年 10 月 21 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-qualcomm-wi-fi-driver">Qualcomm Wi-Fi ドライバでの情報開示の脆弱性</h3> <p>Qualcomm Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2258,7 +1832,7 @@ QC-CR#1088824</a></td> </tr> <tr> <td>CVE-2017-0461</td> - <td>A-32073794<br> + <td>A-32073794<br /> <a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=ce5d6f84420a2e6ca6aad6b866992970dd313a65"> QC-CR#1100132</a></td> <td>中</td> @@ -2267,8 +1841,8 @@ QC-CR#1100132</a></td> </tr> <tr> <td>CVE-2017-0459</td> - <td>A-32644895<br> - <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?h=rel/msm-3.18&id=ffacf6e2dc41b6063c3564791ed7a2f903e7e3b7"> + <td>A-32644895<br /> + <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?h=rel/msm-3.18&id=ffacf6e2dc41b6063c3564791ed7a2f903e7e3b7"> QC-CR#1091939</a></td> <td>中</td> <td>Pixel、Pixel XL</td> @@ -2276,26 +1850,25 @@ QC-CR#1091939</a></td> </tr> <tr> <td>CVE-2017-0531</td> - <td>A-32877245<br> + <td>A-32877245<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=530f3a0fd837ed105eddaf99810bc13d97dc4302"> QC-CR#1087469</a></td> <td>中</td> <td>Android One、Nexus 5X、Nexus 6P、Pixel、Pixel XL</td> <td>2016 年 11 月 13 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-mediatek-video-codec-driver">MediaTek ビデオ コーデック ドライバでの情報開示の脆弱性</h3> <p>MediaTek ビデオ コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2304,28 +1877,27 @@ QC-CR#1087469</a></td> </tr> <tr> <td>CVE-2017-0532</td> - <td>A-32370398*<br> + <td>A-32370398*<br /> M-ALPS03069985</td> <td>中</td> <td>なし**</td> <td>2016 年 10 月 22 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <p>** Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> - <h3 id="id-in-qualcomm-video-driver">Qualcomm ビデオドライバでの情報開示の脆弱性</h3> <p> Qualcomm ビデオドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2334,7 +1906,7 @@ Qualcomm ビデオドライバに情報開示の脆弱性があるため、悪 </tr> <tr> <td>CVE-2017-0533</td> - <td>A-32509422<br> + <td>A-32509422<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f"> QC-CR#1088206</a></td> <td>中</td> @@ -2343,7 +1915,7 @@ QC-CR#1088206</a></td> </tr> <tr> <td>CVE-2017-0534</td> - <td>A-32508732<br> + <td>A-32508732<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f"> QC-CR#1088206</a></td> <td>中</td> @@ -2352,7 +1924,7 @@ QC-CR#1088206</a></td> </tr> <tr> <td>CVE-2016-8416</td> - <td>A-32510746<br> + <td>A-32510746<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f"> QC-CR#1088206</a></td> <td>中</td> @@ -2361,26 +1933,25 @@ QC-CR#1088206</a></td> </tr> <tr> <td>CVE-2016-8478</td> - <td>A-32511270<br> + <td>A-32511270<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=e3af5e89426f1c8d4e703d415eff5435b925649f"> QC-CR#1088206</a></td> <td>中</td> <td>Pixel、Pixel XL</td> <td>2016 年 10 月 28 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-qualcomm-camera-driver">Qualcomm カメラドライバでの情報開示の脆弱性</h3> <p>Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2389,7 +1960,7 @@ QC-CR#1088206</a></td> </tr> <tr> <td>CVE-2016-8413</td> - <td>A-32709702<br> + <td>A-32709702<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=bc77232707df371ff6bab9350ae39676535c0e9d"> QC-CR#518731</a></td> <td>中</td> @@ -2398,7 +1969,7 @@ QC-CR#518731</a></td> </tr> <tr> <td>CVE-2016-8477</td> - <td>A-32720522<br> + <td>A-32720522<br /> <a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=33c9042e38506b04461fa99e304482bc20923508"> QC-CR#1090007</a> [<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=96145eb5f0631f0e105d47abebc8f940f7621eeb">2</a>]</td> @@ -2406,19 +1977,18 @@ QC-CR#1090007</a> <td>Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL</td> <td>2016 年 11 月 7 日</td> </tr> -</table> - +</tbody></table> <h3 id="id-in-htc-sound-codec-driver">HTC サウンド コーデック ドライバでの情報開示の脆弱性</h3> <p>HTC サウンド コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2432,20 +2002,19 @@ QC-CR#1090007</a> <td>Nexus 9</td> <td>2016 年 12 月 11 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="id-in-synaptics-touchscreen-driver">Synaptics タッチスクリーン ドライバでの情報開示の脆弱性</h3> <p>Synaptics タッチスクリーン ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2459,20 +2028,19 @@ QC-CR#1090007</a> <td>Android One、Nexus 5X、Nexus 6P、Nexus 9、Pixel、Pixel XL</td> <td>2016 年 12 月 12 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="id-in-kernel-usb-gadget-driver">カーネル USB ガジェット ドライバでの情報開示の脆弱性</h3> <p>カーネル USB ガジェット ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2486,20 +2054,19 @@ QC-CR#1090007</a> <td>Pixel C</td> <td>Google 社内</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> - <h3 id="id-in-qualcomm-camera-driver-2">Qualcomm カメラドライバでの情報開示の脆弱性</h3> <p>Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「低」と判断されています。</p> <table> - <col width="19%"> - <col width="20%"> - <col width="10%"> - <col width="23%"> - <col width="17%"> - <tr> + <colgroup><col width="19%" /> + <col width="20%" /> + <col width="10%" /> + <col width="23%" /> + <col width="17%" /> + </colgroup><tbody><tr> <th>CVE</th> <th>参照</th> <th>重大度</th> @@ -2508,19 +2075,19 @@ QC-CR#1090007</a> </tr> <tr> <td>CVE-2017-0452</td> - <td>A-32873615*<br> + <td>A-32873615*<br /> QC-CR#1093693</td> <td>低</td> <td>Nexus 5X、Nexus 6P、Android One</td> <td>2016 年 11 月 10 日</td> </tr> -</table> +</tbody></table> <p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h2 id="common-questions-and-answers">一般的な質問と回答</h2> <p>上記の公開情報に対する一般的な質問について、以下で回答します。</p> -<p><strong>1. 上記の問題に対処するように端末が更新されているかどうかをどのように判断すればよいですか? +<p><strong>1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか? </strong></p> -<p>端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel および Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。</p> +<p>端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel および Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。</p> <ul> <li>セキュリティ パッチ レベル 2017-03-01 以降では、セキュリティ パッチ レベル 2017-03-01 に関連するすべての問題に対処しています。</li> <li>セキュリティ パッチ レベル 2017-03-05 以降では、セキュリティ パッチ レベル 2017-03-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。 @@ -2531,8 +2098,8 @@ QC-CR#1090007</a> <li>[ro.build.version.security_patch]:[2017-03-01]</li> <li>[ro.build.version.security_patch]:[2017-03-05]</li> </ul> -<p><strong>2. この公開情報に 2 つのセキュリティ パッチ レベルがあるのはなぜですか?</strong></p> -<p>この公開情報では、2 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。</p> +<p><strong>2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?</strong></p> +<p>この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。</p> <ul> <li>2017 年 3 月 1 日のセキュリティ パッチ レベルを使用する端末には、そのセキュリティ パッチ レベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。</li> <li>2017 年 3 月 5 日以降のセキュリティ パッチ レベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。</li> @@ -2541,14 +2108,14 @@ QC-CR#1090007</a> <p><strong>3. 各問題の影響を受ける Google 端末を判断するにはどうすればよいですか?</strong></p> <p><a href="#2017-03-01-details">2017-03-01</a> と <a href="#2017-03-05-details">2017-03-05</a> のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google 端末<em></em>」列に、その問題の影響を受ける、更新対象の Google 端末の種類を記載しています。この列には次のいずれかが表示されています。</p> <ul> -<li><strong>すべての Google 端末</strong>: 問題がすべての端末と Pixel 端末に影響を与える場合、表の「更新対象の Google 端末<em></em>」列には「すべて」と記載されています。「すべて」には<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">サポート対象の端末</a>(Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。</li> +<li><strong>すべての Google 端末</strong>: 問題がすべての端末と Pixel 端末に影響を与える場合、表の「更新対象の Google 端末<em></em>」列には「すべて」と記載されています。「すべて」には<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">サポート対象の端末</a>(Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。</li> <li><strong>一部の Google 端末</strong>: 問題が一部の Google 端末のみに影響する場合、「更新対象の Google 端末<em></em>」列には影響を受ける Google 端末が記載されています。</li> <li><strong>影響を受ける Google 端末がない</strong>: Android 7.0 を搭載した Google 端末が問題の影響を受けない場合、表の「更新対象の Google 端末<em></em>」列には「なし」と記載されています。</li> </ul> <p><strong>4. 「参照」列の項目はどのような情報に関連付けられていますか?</strong></p> <p>脆弱性の詳細の表で「参照」列に記載した内容には、その参照番号が属す組織を示す接頭辞を含めている場合があります。<em></em>各接頭辞の意味は以下のとおりです。</p> <table> - <tr> + <tbody><tr> <th>接頭辞</th> <th>参照</th> </tr> @@ -2572,11 +2139,11 @@ QC-CR#1090007</a> <td>B-</td> <td>Broadcom の参照番号</td> </tr> -</table> +</tbody></table> <h2 id="revisions">改訂</h2> <ul> <li>2017 年 3 月 6 日: 情報公開</li> <li>2017 年 3 月 7 日: 公開情報を改訂し AOSP リンクを追加</li> </ul> -</body> -</html> + +</body></html>
\ No newline at end of file diff --git a/ja/security/bulletin/2017-04-01.html b/ja/security/bulletin/2017-04-01.html index 1667cd5e..1eb06ce2 100644 --- a/ja/security/bulletin/2017-04-01.html +++ b/ja/security/bulletin/2017-04-01.html @@ -19,10 +19,10 @@ See the License for the specific language governing permissions and limitations under the License. --> -<p><em>2017 年 4 月 3 日公開 | 2017 年 4 月 5 日更新</em></p> +<p><em>2017 年 4 月 3 日公開 | 2017 年 8 月 17 日更新</em></p> <p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>でリリースしています。2017 年 4 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。</p> <p>パートナーには、この公開情報に記載の問題について 2017 年 3 月 6 日までに通知済みです。Android オープンソース プロジェクト(AOSP)のレポジトリに、下記の問題に対するソースコードのパッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。</p> -<p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。<a href="/security/overview/updates-resources.html#severity">重大度の判定</a>は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的や不正に回避されたために無効にされた場合を前提としています。</p> +<p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。</p> <p>この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や <a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a> のようなサービスの保護について詳しくは、<a href="#mitigations">Android と Google サービスでのリスク軽減策</a>をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。</p> <p>ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。</p> @@ -50,31 +50,30 @@ <ul> <li>Shellphish Grill チームの Aravind Machiry(donfos): CVE-2016-5349</li> <li>Tencent、Xuanwu Lab の Daxing Guo(<a href="https://twitter.com/freener0">@freener0</a>): CVE-2017-0585、CVE-2017-0553</li> - <li><a href="mailto:derrek.haxx@gmail.com">Derrek</a>(<a href="https://twitter.com/derrekr6">@derrekr6</a>)および Scott Bauer: CVE-2017-0576</li> + <li><a href="mailto:derrek.haxx@gmail.com">Derrek</a>(<a href="https://twitter.com/derrekr6">@derrekr6</a>)、Scott Bauer: CVE-2017-0576</li> <li>Project Zero の Gal Beniamini: CVE-2017-0571、CVE-2017-0570、CVE-2017-0572、CVE-2017-0569、CVE-2017-0561</li> - <li>Qihoo 360 Technology Co. Ltd.、IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)および <a href="http://weibo.com/jfpan">pjf</a>: CVE-2017-6426、CVE-2017-0581、CVE-2017-0329、CVE-2017-0332、CVE-2017-0566</li> - <li>Qihoo 360 Technology Co. Ltd.、Alpha Team の Guang Gong(龚广)(<a href="https://twitter.com/oldfresher">@oldfresher</a>): CVE-2017-0547</li> - <li>Qihoo 360 Technology Co. Ltd.、Alpha Team の Hao Chen および Guang Gong: CVE-2017-6424、CVE-2017-0584、CVE-2017-0454、CVE-2017-0575、CVE-2017-0567</li> + <li>Qihoo 360 Technology Co. Ltd. IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2017-6426、CVE-2017-0581、CVE-2017-0329、CVE-2017-0332、CVE-2017-0566、CVE-2017-0573</li> + <li>Qihoo 360 Technology Co. Ltd. Alpha Team の Guang Gong(龚广)(<a href="https://twitter.com/oldfresher">@oldfresher</a>): CVE-2017-0547</li> + <li>Qihoo 360 Technology Co. Ltd. Alpha Team の Hao Chen、Guang Gong: CVE-2017-6424、CVE-2017-0584、CVE-2017-0454、CVE-2017-0574、CVE-2017-0575、CVE-2017-0567</li> <li>Ian Foster(<a href="https://twitter.com/lanrat">@lanrat</a>): CVE-2017-0554</li> <li>Trend Micro Inc. の Jack Tang: CVE-2017-0579</li> <li><a href="https://skyeye.360safe.com">Qihoo 360 Skyeye Labs</a> の Jianjun Dai(<a href="https://twitter.com/Jioun_dai">@Jioun_dai</a>): CVE-2017-0559、CVE-2017-0541</li> - <li>Qihoo 360、IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)および <a href="http://weibo.com/jfpan">pjf</a>: CVE-2017-6425、CVE-2016-5346</li> - <li><a href="http://c0reteam.org">C0RE Team</a> の Lubo Zhang(<a href="mailto:zlbzlb815@163.com">zlbzlb815@163.com</a>)および Qihoo 360 Technology Co. Ltd.、IceSword Lab の Yonggang Guo(<a href="https://twitter.com/guoygang">@guoygang</a>): CVE-2017-0564</li> + <li>Qihoo 360 IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2017-6425、CVE-2016-5346</li> + <li><a href="http://c0reteam.org">C0RE Team</a> の Lubo Zhang(<a href="mailto:zlbzlb815@163.com">zlbzlb815@163.com</a>)、Qihoo 360 Technology Co. Ltd. IceSword Lab の Yonggang Guo(<a href="https://twitter.com/guoygang">@guoygang</a>): CVE-2017-0564</li> <li>Google の <a href="mailto:salyzyn@android.com">Mark Salyzyn</a>: CVE-2017-0558</li> - <li>Tesla、Product Security Team の Mike Anderson(<a href="https://twitter.com/manderbot">@manderbot</a>)および Nathan Crandall(<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0327、CVE-2017-0328</li> + <li>Tesla Product Security Team の Mike Anderson(<a href="https://twitter.com/manderbot">@manderbot</a>)、Nathan Crandall(<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0327、CVE-2017-0328</li> <li>Alibaba Mobile Security Group の Peng Xiao、Chengming Yang、Ning You、Chao Yang、Yang song: CVE-2017-0565</li> <li>Baidu X-Lab(百度安全实验室)の Pengfei Ding(丁鹏飞)、Chenfu Bao(包沉浮)、Lenx Wei(韦韬): CVE-2016-10236</li> - <li>Tencent、KeenLab の Qidan He(何淇丹 - <a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>): CVE-2017-0544、CVE-2016-10231、CVE-2017-0325</li> - <li>HCL Technologies、Aleph Research の Roee Hay(<a href="https://twitter.com/roeehay">@roeehay</a>): CVE-2017-0582、CVE-2017-0563</li> + <li>Tencent KeenLab の Qidan He(何淇丹)(<a href="https://twitter.com/flanker_hqd">@flanker_hqd</a>): CVE-2017-0544、CVE-2017-0325</li> + <li>HCL Technologies Aleph Research の Roee Hay(<a href="https://twitter.com/roeehay">@roeehay</a>): CVE-2017-0582、CVE-2017-0563</li> <li><a href="mailto:sbauer@plzdonthack.me">Scott Bauer</a>(<a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2017-0562、CVE-2017-0339</li> - <li>Trend Micro、Mobile Threat Research Team の Seven Shen(<a href="https://twitter.com/lingtongshen">@lingtongshen</a>): CVE-2017-0578</li> + <li>TrendMicro Mobile Threat Research Team の Seven Shen(<a href="https://twitter.com/lingtongshen">@lingtongshen</a>): CVE-2016-10231、CVE-2017-0578、CVE-2017-0586</li> <li>Tim Becker: CVE-2017-0546</li> <li>Uma Sankar Pradhan(<a href="https://twitter.com/umasankar_iitd">@umasankar_iitd</a>): CVE-2017-0560</li> - <li><a href="http://www.trendmicro.com">Trend Micro</a>、<a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">Mobile Threat Response Team</a> の V.E.O(<a href="https://twitter.com/vysea">@VYSEa</a>): CVE-2017-0555、CVE-2017-0538、CVE-2017-0539、CVE-2017-0540、CVE-2017-0557、CVE-2017-0556</li> + <li><a href="http://www.trendmicro.com">Trend Micro</a> <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">Mobile Threat Response Team</a> の V.E.O(<a href="https://twitter.com/vysea">@VYSEa</a>): CVE-2017-0555、CVE-2017-0538、CVE-2017-0539、CVE-2017-0557、CVE-2017-0556</li> <li>Alibaba Inc の Weichao Sun(<a href="https://twitter.com/sunblate">@sunblate</a>): CVE-2017-0549</li> - <li>Qihoo 360 Technology Co. Ltd.、Chen of Alpha Team の Wenlin Yang(<a href="https://twitter.com/wenlin_yang">@wenlin_yang</a>)、Guang Gong(<a href="https://twitter.com/oldfresher">@oldfresher</a>)、Hao Chen: CVE-2017-0580、CVE-2017-0577</li> - <li>Qihoo 360 Technology Co. Ltd.、IceSword Lab の Yonggang Guo(<a href="https://twitter.com/guoygang">@guoygang</a>): CVE-2017-0586</li> - <li>Qihoo 360 Technology Co. Ltd.、Chengdu Security Response Center の <a href="http://weibo.com/ele7enxxh">Zinuo Han</a>: CVE-2017-0548</li> + <li>Qihoo 360 Technology Co. Ltd. Alpha Team の Wenlin Yang(<a href="https://twitter.com/wenlin_yang">@wenlin_yang</a>)、Guang Gong(<a href="https://twitter.com/oldfresher">@oldfresher</a>)、Hao Chen: CVE-2017-0580、CVE-2017-0577</li> + <li>Qihoo 360 Technology Co. Ltd. Chengdu Security Response Center の <a href="http://weibo.com/ele7enxxh">Zinuo Han</a>: CVE-2017-0548</li> <li>Google の Zubin Mithra: CVE-2017-0462</li> </ul> @@ -116,14 +115,6 @@ <td>2016 年 12 月 23 日</td> </tr> <tr> - <td>CVE-2017-0540</td> - <td><a href="https://android.googlesource.com/platform/external/libhevc/+/01ca88bb6c5bdd44e071f8effebe12f1d7da9853">A-33966031</a></td> - <td>重大</td> - <td>すべて</td> - <td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td> - <td>2016 年 12 月 29 日</td> - </tr> - <tr> <td>CVE-2017-0541</td> <td><a href="https://android.googlesource.com/platform/external/sonivox/+/56d153259cc3e16a6a0014199a2317dde333c978">A-34031018</a></td> <td>重大</td> @@ -1364,7 +1355,7 @@ QC-CR#1103158</a></td> アップストリーム カーネル</a></td> <td>高</td> <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player</td> - <td>Google 社内</td> + <td>2014 年 10 月 24 日</td> </tr> </tbody></table> @@ -1941,136 +1932,119 @@ QC-CR#1106842</a></td> </tr> <tr> <td>CVE-2014-9931</td> - <td>A-35445101**<br /> - QC-CR#612410</td> + <td>A-35445101**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2014-9932</td> - <td>A-35434683**<br /> - QC-CR#626734</td> + <td>A-35434683**</td> <td>重大</td> <td>Pixel、Pixel XL</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2014-9933</td> - <td>A-35442512<br /> - QC-CR#675463</td> + <td>A-35442512**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2014-9934</td> - <td>A-35439275**<br /> - QC-CR#658249</td> + <td>A-35439275**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2014-9935</td> - <td>A-35444951**<br /> - QC-CR#717626</td> + <td>A-35444951**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2014-9936</td> - <td>A-35442420**<br /> - QC-CR#727389</td> + <td>A-35442420**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2014-9937</td> - <td>A-35445102**<br /> - QC-CR#734095</td> + <td>A-35445102**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2015-8995</td> - <td>A-35445002**<br /> - QC-CR#733690</td> + <td>A-35445002**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2015-8996</td> - <td>A-35444658**<br /> - QC-CR#734698</td> + <td>A-35444658**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2015-8997</td> - <td>A-35432947**<br /> - QC-CR#734707</td> + <td>A-35432947**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2015-8998</td> - <td>A-35441175**<br /> - QC-CR#735337</td> + <td>A-35441175**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2015-8999</td> - <td>A-35445401**<br /> - QC-CR#736119</td> + <td>A-35445401**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2015-9000</td> - <td>A-35441076**<br /> - QC-CR#740632</td> + <td>A-35441076**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2015-9001</td> - <td>A-35445400**<br /> - QC-CR#736083</td> + <td>A-35445400**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2015-9002</td> - <td>A-35442421**<br /> - QC-CR#748428</td> + <td>A-35442421**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2015-9003</td> - <td>A-35440626**<br /> - QC-CR#749215</td> + <td>A-35440626**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> </tr> <tr> <td>CVE-2016-10242</td> - <td>A-35434643**<br /> - QC-CR#985139</td> + <td>A-35434643**</td> <td>重大</td> <td>なし**</td> <td>Qualcomm 社内</td> @@ -2082,7 +2056,7 @@ QC-CR#1106842</a></td> <h2 id="common-questions-and-answers">一般的な質問と回答</h2> <p>上記の公開情報に対する一般的な質問について、以下で回答します。</p> -<p><strong>1. 上記の問題に対処するように端末が更新されているかどうかをどのように判断すればよいですか?</strong></p> +<p><strong>1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか?</strong></p> <p>端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel および Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。</p> <ul> <li>セキュリティ パッチ レベル 2017-04-01 以降では、セキュリティ パッチ レベル 2017-04-01 に関連するすべての問題に対処しています。</li> @@ -2094,8 +2068,8 @@ QC-CR#1106842</a></td> <li>[ro.build.version.security_patch]:[2017-04-05]</li> </ul> -<p><strong>2. この公開情報に 2 つのセキュリティ パッチ レベルがあるのはなぜですか?</strong></p> -<p>この公開情報では、2 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。</p> +<p><strong>2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?</strong></p> +<p>この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。</p> <ul> <li>2017 年 4 月 1 日のセキュリティ パッチ レベルを使用する端末には、そのセキュリティ パッチ レベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。</li> <li>2017 年 4 月 5 日以降のセキュリティ パッチ レベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。</li> @@ -2104,7 +2078,7 @@ QC-CR#1106842</a></td> <p><strong>3. 各問題の影響を受ける Google 端末を判断するにはどうすればよいですか?</strong></p> <p><a href="#2017-04-01-details">2017-04-01</a> と <a href="#2017-04-05-details">2017-04-05</a> のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google 端末<em></em>」列に、その問題の影響を受ける、更新対象の Google 端末の種類を記載しています。この列には次のいずれかが表示されています。</p> <ul> - <li><strong>すべての Google 端末</strong>: 問題がすべての端末と Pixel 端末に影響を与える場合、表の「更新対象の Google 端末<em></em>」列には「すべて」と記載されています。「すべて」には<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">サポート対象の端末</a>(Nexus 5X、Nexus 6、Nexus 6P、Nexus 7(2013)、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。</li> + <li><strong>すべての Google 端末</strong>: 問題がすべての端末と Pixel 端末に影響を与える場合、表の「更新対象の Google 端末<em></em>」列には「すべて」と記載されています。「すべて」には<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">サポート対象の端末</a>(Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。</li> <li><strong>一部の Google 端末</strong>: 問題が一部の Google 端末のみに影響する場合、「更新対象の Google 端末<em></em>」列には影響を受ける Google 端末が記載されています。</li> <li><strong>影響を受ける Google 端末がない</strong>: Android 7.0 を搭載した Google 端末が問題の影響を受けない場合、表の「更新対象の Google 端末<em></em>」列には「なし」と記載されています。</li> </ul> @@ -2140,7 +2114,10 @@ QC-CR#1106842</a></td> <h2 id="revisions">改訂</h2> <ul> <li> 2017 年 4 月 3 日: 情報公開</li> - <li> 2017 年 4 月 5 日: 公開情報を改訂し AOSP リンクを追加</li> + <li>2017 年 4 月 5 日: 公開情報を改訂し AOSP リンクを追加</li> + <li>2017 年 4 月 21 日: CVE-2016-10231、CVE-2017-0586 の帰属を修正</li> + <li>2017 年 4 月 27 日: 公開情報から CVE-2017-0540 を削除</li> + <li>2017 年 8 月 17 日: 公開情報を改訂し参照番号を更新</li> </ul> </body></html>
\ No newline at end of file diff --git a/ja/security/bulletin/2017-05-01.html b/ja/security/bulletin/2017-05-01.html index aabb3a86..f54036d3 100644 --- a/ja/security/bulletin/2017-05-01.html +++ b/ja/security/bulletin/2017-05-01.html @@ -20,9 +20,9 @@ limitations under the License. --> -<p><em>2017 年 5 月 1 日公開 | 2017 年 8 月 17 日更新</em></p> +<p><em>2017 年 5 月 1 日公開 | 2017 年 10 月 3 日更新</em></p> -<p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を及ぼすセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>でリリースしています。2017 年 5 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。</p> +<p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>でリリースしています。2017 年 5 月 5 日以降のセキュリティ パッチレベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。</p> <p>パートナーには、この公開情報に記載の問題について 2017 年 4 月 3 日までに通知済みです。Android オープンソース プロジェクト(AOSP)のレポジトリに、下記の問題に対するソースコードのパッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。</p> @@ -33,13 +33,13 @@ <p>ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。</p> <h2 id="announcements">お知らせ</h2> <ul> -<li>この公開情報では、2 つのセキュリティ パッチ レベル文字列を定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、<a href="#common-questions-and-answers">一般的な質問と回答</a>をご覧ください。 +<li>この公開情報では、2 つのセキュリティ パッチレベル文字列を定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、<a href="#common-questions-and-answers">一般的な質問と回答</a>をご覧ください。 <ul> - <li><strong>2017-05-01</strong>: 部分的に対処したセキュリティ パッチ レベル文字列。このセキュリティ パッチ レベル文字列は、2017-05-01(およびそれ以前のすべてのセキュリティ パッチ レベル文字列)に関連するすべての問題に対処していることを示します。</li> - <li><strong>2017-05-05</strong>: 完全に対処したセキュリティ パッチ レベル文字列。このセキュリティ パッチ レベル文字列は、2017-05-01 と 2017-05-05(およびそれ以前のすべてのセキュリティ パッチ レベル文字列)に関連するすべての問題に対処していることを示します。</li> + <li><strong>2017-05-01</strong>: 部分的に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-05-01(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。</li> + <li><strong>2017-05-05</strong>: 完全に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-05-01 と 2017-05-05(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。</li> </ul> </li> -<li>サポート対象の Google 端末には、2017 年 5 月 5 日のセキュリティ パッチ レベルのアップデート 1 件が OTA で配信されます。</li> +<li>サポート対象の Google 端末には、2017 年 5 月 5 日のセキュリティ パッチレベルのアップデート 1 件が OTA で配信されます。</li> </ul> <h2 id="mitigations">Android と Google サービスでのリスク軽減策</h2> @@ -47,8 +47,8 @@ <p>ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォーム</a>の保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。</p> <ul> -<li>Android プラットフォームの最新版での機能強化により、Android 上の多くの問題について悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新版の Android に更新することをおすすめしています。</li> -<li>Android セキュリティ チームは、<a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf">「アプリの確認」や SafetyNet</a> によって脆弱性の悪用を積極的に監視しており、<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">有害なおそれのあるアプリ</a>についてユーザーに警告しています。「アプリの確認」は、<a href="http://www.android.com/gms">Google モバイル サービス</a>を搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。端末のルート権限を取得するツールは Google Play では禁止されていますが、「アプリの確認」では、アプリの入手元にかかわらず、ルート権限取得アプリを検出し、インストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。</li> +<li>Android プラットフォームの最新版での機能強化により、Android 上の多くの問題について悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。</li> +<li>Android セキュリティ チームは、<a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf">「アプリの確認」や SafetyNet</a> によって脆弱性の悪用を積極的に監視しており、<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">有害なおそれのあるアプリ</a>についてユーザーに警告しています。「アプリの確認」は、<a href="http://www.android.com/gms">Google モバイル サービス</a>を搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。端末のルート権限を取得するツールは Google Play では禁止されていますが、「アプリの確認」では、アプリの入手元に関係なく、検出されたルート権限取得アプリをインストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。</li> <li>Google ハングアウトやメッセンジャーなどのアプリでは状況を適宜判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。</li> </ul> @@ -83,7 +83,7 @@ <li>Qihoo 360 Technology Co. Ltd. Vulpecker Team の Yu Pan、Peide Zhang: CVE-2017-0618、CVE-2017-0625</li> </ul> -<h2 id="2017-05-01-details">セキュリティ パッチ レベル 2017-05-01 の脆弱性の詳細</h2> +<h2 id="2017-05-01-details">セキュリティ パッチレベル 2017-05-01 の脆弱性の詳細</h2> <p>パッチレベル 2017-05-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> @@ -502,7 +502,7 @@ </tr> </tbody></table> -<h2 id="2017-05-05-details">セキュリティ パッチ レベル 2017-05-05 の脆弱性の詳細</h2> +<h2 id="2017-05-05-details">セキュリティ パッチレベル 2017-05-05 の脆弱性の詳細</h2> <p>パッチレベル 2017-05-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。その問題に対処した、一般公開されている変更(AOSP の変更の一覧など)がある場合は、そのバグ ID にリンクを設定しています。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p> @@ -618,7 +618,7 @@ QC-CR#1094105</a></td> <th>参照</th> <th>重大度</th> <th>更新対象の Google 端末</th> - <th>報告日</th> + <th>報告日 </th> </tr> <tr> <td>CVE-2016-9794</td> @@ -719,34 +719,6 @@ QC-CR#826589</a></td> <p>* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p> -<h3 id="eop-in-kernel-trace-subsystem">カーネル トレース サブシステムでの権限昇格の脆弱性</h3> - -<p>カーネル トレース サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p> - -<table> - <colgroup><col width="19%" /> - <col width="20%" /> - <col width="10%" /> - <col width="23%" /> - <col width="17%" /> - </colgroup><tbody><tr> - <th>CVE</th> - <th>参照</th> - <th>重大度</th> - <th>更新対象の Google 端末</th> - <th>報告日</th> - </tr> - <tr> - <td>CVE-2017-0605</td> - <td>A-35399704<br /> - <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=2161ae9a70b12cf18ac8e5952a20161ffbccb477"> -QC-CR#1048480</a></td> - <td>重大</td> - <td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player</td> - <td>2017 年 2 月 15 日</td> - </tr> -</tbody></table> - <h3 id="vulnerabilities-in-qualcomm-components">Qualcomm コンポーネントでの脆弱性</h3> <p>Qualcomm コンポーネントに影響する脆弱性は次のとおりです。詳細については、Qualcomm AMSS の 2016 年 8 月、9 月、10 月、12 月のセキュリティに関する公開情報をご覧ください。</p> @@ -2206,7 +2178,7 @@ QC-CR#832915</a></td> <h3 id="vulnerabilities-in-qualcomm-components-2">Qualcomm コンポーネントでの脆弱性</h3> -<p>Qualcomm コンポーネントに影響する次の脆弱性は、2014~2016 年に Qualcomm AMSS のセキュリティに関する公開情報としてリリースされたものです。これらは Android のセキュリティ パッチ レベルとの関連付けのため、今回の「Android のセキュリティに関する公開情報」に追記されています。</p> +<p>Qualcomm コンポーネントに影響する次の脆弱性は、2014~2016 年に Qualcomm AMSS のセキュリティに関する公開情報としてリリースされたものです。これらは Android のセキュリティ パッチレベルとの関連付けのため、今回の「Android のセキュリティに関する公開情報」に追記されています。</p> <table> <colgroup><col width="19%" /> @@ -2404,11 +2376,11 @@ QC-CR#832915</a></td> <p><strong>1. 上記の問題に対処するように端末が更新されているかを判断するには、どうすればよいですか? </strong></p> -<p>端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel および Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。</p> +<p>端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel および Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。</p> <ul> -<li>セキュリティ パッチ レベル 2017-05-01 以降では、セキュリティ パッチ レベル 2017-05-01 に関連するすべての問題に対処しています。</li> -<li>セキュリティ パッチ レベル 2017-05-05 以降では、セキュリティ パッチ レベル 2017-05-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。 +<li>セキュリティ パッチレベル 2017-05-01 以降では、セキュリティ パッチレベル 2017-05-01 に関連するすべての問題に対処しています。</li> +<li>セキュリティ パッチレベル 2017-05-05 以降では、セキュリティ パッチレベル 2017-05-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。 </li> </ul> @@ -2420,10 +2392,10 @@ QC-CR#832915</a></td> <p><strong>2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?</strong></p> -<p>この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。</p> +<p>この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。</p> <ul> -<li>2017 年 5 月 1 日のセキュリティ パッチ レベルを使用する端末には、そのセキュリティ パッチ レベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。</li> -<li>2017 年 5 月 5 日以降のセキュリティ パッチ レベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。</li> +<li>2017 年 5 月 1 日のセキュリティ パッチレベルを使用する端末には、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。</li> +<li>2017 年 5 月 5 日以降のセキュリティ パッチレベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。</li> </ul> <p>パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。</p> @@ -2472,6 +2444,7 @@ QC-CR#832915</a></td> <li>2017 年 5 月 2 日: 公開情報を改訂し AOSP リンクを追加</li> <li>2017 年 8 月 10 日: 公開情報を改訂し CVE-2017-0493 向け AOSP リンクを追加</li> <li>2017 年 8 月 17 日: 公開情報を改訂し参照番号を更新</li> +<li>2017 年 10 月 3 日: 公開情報を改訂し CVE-2017-0605 を削除</li> </ul> </body></html>
\ No newline at end of file diff --git a/ja/security/bulletin/2017-06-01.html b/ja/security/bulletin/2017-06-01.html index 9e49ec1b..9fab102c 100644 --- a/ja/security/bulletin/2017-06-01.html +++ b/ja/security/bulletin/2017-06-01.html @@ -19,15 +19,15 @@ See the License for the specific language governing permissions and limitations under the License. --> -<p><em>2017 年 6 月 5 日公開 | 2017 年 6 月 7 日更新</em></p> +<p><em>2017 年 6 月 5 日公開 | 2017 年 8 月 17 日更新</em></p> <p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。2017 年 6 月 5 日以降のセキュリティ パッチ レベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。</p> <p>パートナーには、この公開情報に記載の問題について 1 か月前までに通知済みです。Android オープンソース プロジェクト(AOSP)のレポジトリに、下記の問題に対するソースコードのパッチをリリースします。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。</p> -<p>下記の問題のうち最も重大度の高いものは、メディア フレームワークに重大なセキュリティの脆弱性があるため、離れた場所にいる攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあることです。<a href="/security/overview/updates-resources.html#severity">重大度の判定</a>は、攻撃を受けた端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的で無効にされるか不正に回避された場合を前提としています。</p> +<p>下記の問題のうち最も重大度の高いものは、メディア フレームワークに重大なセキュリティの脆弱性があるため、離れた場所にいる攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあることです。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。</p> -<p>この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や <a href="https://www.android.com/play-protect">Google Play プロテクト</a>について詳しくは、<a href="#mitigations">Android と Google Play プロテクトのリスク軽減策</a>をご覧ください。こうした保護は、Android プラットフォームのセキュリティを改善します。</p> +<p>この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a>や <a href="https://www.android.com/play-protect">Google Play プロテクト</a>について詳しくは、<a href="#mitigations">Android と Google Play プロテクトのリスク軽減策</a>をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。</p> <p>ご利用の端末で上記の更新を行うことをすべてのユーザーにおすすめします。</p> @@ -392,6 +392,14 @@ <td>中</td> <td>サウンド ドライバ</td> </tr> + <tr> + <td>CVE-2017-6249</td> + <td>A-34373711<a href="#asterisk">*</a><br /> + N-CVE-2017-6249</td> + <td>EoP</td> + <td>中</td> + <td>サウンド ドライバ</td> + </tr> </tbody></table> <h3 id="qualcomm-components">Qualcomm コンポーネント</h3> <p>Qualcomm コンポーネントに重大な脆弱性があるため、近くにいる攻撃者によってカーネル内で任意のコードが実行されるおそれがあります。</p> @@ -630,416 +638,364 @@ </tr> <tr> <td>CVE-2014-9960</td> - <td>A-37280308<a href="#asterisk">*</a><br /> - QC-CR#381837</td> - <td>なし</td> + <td>A-37280308<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9961</td> - <td>A-37279724<a href="#asterisk">*</a><br /> - QC-CR#581093</td> - <td>なし</td> + <td>A-37279724<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9953</td> - <td>A-36714770<a href="#asterisk">*</a><br /> - QC-CR#642173</td> - <td>なし</td> + <td>A-36714770<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9967</td> - <td>A-37281466<a href="#asterisk">*</a><br /> - QC-CR#739110</td> - <td>なし</td> + <td>A-37281466<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9026</td> - <td>A-37277231<a href="#asterisk">*</a><br /> - QC-CR#748397</td> - <td>なし</td> + <td>A-37277231<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9027</td> - <td>A-37279124<a href="#asterisk">*</a><br /> - QC-CR#748407</td> - <td>なし</td> + <td>A-37279124<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9008</td> - <td>A-36384689<a href="#asterisk">*</a><br /> - QC-CR#762111</td> - <td>なし</td> + <td>A-36384689<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9009</td> - <td>A-36393600<a href="#asterisk">*</a><br /> - QC-CR#762182</td> - <td>なし</td> + <td>A-36393600<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9010</td> - <td>A-36393101<a href="#asterisk">*</a><br /> - QC-CR#758752</td> - <td>なし</td> + <td>A-36393101<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9011</td> - <td>A-36714882<a href="#asterisk">*</a><br /> - QC-CR#762167</td> - <td>なし</td> + <td>A-36714882<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9024</td> - <td>A-37265657<a href="#asterisk">*</a><br /> - QC-CR#740680</td> - <td>なし</td> + <td>A-37265657<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9012</td> - <td>A-36384691<a href="#asterisk">*</a><br /> - QC-CR#746617</td> - <td>なし</td> + <td>A-36384691<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9013</td> - <td>A-36393251<a href="#asterisk">*</a><br /> - QC-CR#814373</td> - <td>なし</td> + <td>A-36393251<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9014</td> - <td>A-36393750<a href="#asterisk">*</a><br /> - QC-CR#855220</td> - <td>なし</td> + <td>A-36393750<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9015</td> - <td>A-36714120<a href="#asterisk">*</a><br /> - QC-CR#701858</td> - <td>なし</td> + <td>A-36714120<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9029</td> - <td>A-37276981<a href="#asterisk">*</a><br /> - QC-CR#827837</td> - <td>なし</td> + <td>A-37276981<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10338</td> - <td>A-37277738<a href="#asterisk">*</a><br /> - QC-CR#987699</td> - <td>なし</td> + <td>A-37277738<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10336</td> - <td>A-37278436<a href="#asterisk">*</a><br /> - QC-CR#973605</td> - <td>なし</td> + <td>A-37278436<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10333</td> - <td>A-37280574<a href="#asterisk">*</a><br /> - QC-CR#947438</td> - <td>なし</td> + <td>A-37280574<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10341</td> - <td>A-37281667<a href="#asterisk">*</a><br /> - QC-CR#991476</td> - <td>なし</td> + <td>A-37281667<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10335</td> - <td>A-37282802<a href="#asterisk">*</a><br /> - QC-CR#961142</td> - <td>なし</td> + <td>A-37282802<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10340</td> - <td>A-37280614<a href="#asterisk">*</a><br /> - QC-CR#989028</td> - <td>なし</td> + <td>A-37280614<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10334</td> - <td>A-37280664<a href="#asterisk">*</a><br /> - QC-CR#949933</td> - <td>なし</td> + <td>A-37280664<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10339</td> - <td>A-37280575<a href="#asterisk">*</a><br /> - QC-CR#988502</td> - <td>なし</td> + <td>A-37280575<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10298</td> - <td>A-36393252<a href="#asterisk">*</a><br /> - QC-CR#1020465</td> - <td>なし</td> + <td>A-36393252<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10299</td> - <td>A-32577244<a href="#asterisk">*</a><br /> - QC-CR#1058511</td> - <td>なし</td> + <td>A-32577244<a href="#asterisk">*</a></td> + <td>N/A</td> <td>重大</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9954</td> - <td>A-36388559<a href="#asterisk">*</a><br /> - QC-CR#552880</td> - <td>なし</td> + <td>A-36388559<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9955</td> - <td>A-36384686<a href="#asterisk">*</a><br /> - QC-CR#622701</td> - <td>なし</td> + <td>A-36384686<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9956</td> - <td>A-36389611<a href="#asterisk">*</a><br /> - QC-CR#638127</td> - <td>なし</td> + <td>A-36389611<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9957</td> - <td>A-36387564<a href="#asterisk">*</a><br /> - QC-CR#638984</td> - <td>なし</td> + <td>A-36387564<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9958</td> - <td>A-36384774<a href="#asterisk">*</a><br /> - QC-CR#638135</td> - <td>なし</td> + <td>A-36384774<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9962</td> - <td>A-37275888<a href="#asterisk">*</a><br /> - QC-CR#656267</td> - <td>なし</td> + <td>A-37275888<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9963</td> - <td>A-37276741<a href="#asterisk">*</a><br /> - QC-CR#657771</td> - <td>なし</td> + <td>A-37276741<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9959</td> - <td>A-36383694<a href="#asterisk">*</a><br /> - QC-CR#651900</td> - <td>なし</td> + <td>A-36383694<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9964</td> - <td>A-37280321<a href="#asterisk">*</a><br /> - QC-CR#680778</td> - <td>なし</td> + <td>A-37280321<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9965</td> - <td>A-37278233<a href="#asterisk">*</a><br /> - QC-CR#711585</td> - <td>なし</td> + <td>A-37278233<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2014-9966</td> - <td>A-37282854<a href="#asterisk">*</a><br /> - QC-CR#727398</td> - <td>なし</td> + <td>A-37282854<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9023</td> - <td>A-37276138<a href="#asterisk">*</a><br /> - QC-CR#739802</td> - <td>なし</td> + <td>A-37276138<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9020</td> - <td>A-37276742<a href="#asterisk">*</a><br /> - QC-CR#733455</td> - <td>なし</td> + <td>A-37276742<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9021</td> - <td>A-37276743<a href="#asterisk">*</a><br /> - QC-CR#735148</td> - <td>なし</td> + <td>A-37276743<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9025</td> - <td>A-37276744<a href="#asterisk">*</a><br /> - QC-CR#743985</td> - <td>なし</td> + <td>A-37276744<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9022</td> - <td>A-37280226<a href="#asterisk">*</a><br /> - QC-CR#736146</td> - <td>なし</td> + <td>A-37280226<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9028</td> - <td>A-37277982<a href="#asterisk">*</a><br /> - QC-CR#762764</td> - <td>なし</td> + <td>A-37277982<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9031</td> - <td>A-37275889<a href="#asterisk">*</a><br /> - QC-CR#866015</td> - <td>なし</td> + <td>A-37275889<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9032</td> - <td>A-37279125<a href="#asterisk">*</a><br /> - QC-CR#873202</td> - <td>なし</td> + <td>A-37279125<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9033</td> - <td>A-37276139<a href="#asterisk">*</a><br /> - QC-CR#892541</td> - <td>なし</td> + <td>A-37276139<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2015-9030</td> - <td>A-37282907<a href="#asterisk">*</a><br /> - QC-CR#854667</td> - <td>なし</td> + <td>A-37282907<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10332</td> - <td>A-37282801<a href="#asterisk">*</a><br /> - QC-CR#906713<br /> - QC-CR#917701<br /> - QC-CR#917702</td> - <td>なし</td> + <td>A-37282801<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10337</td> - <td>A-37280665<a href="#asterisk">*</a><br /> - QC-CR#977632</td> - <td>なし</td> + <td>A-37280665<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> <tr> <td>CVE-2016-10342</td> - <td>A-37281763<a href="#asterisk">*</a><br /> - QC-CR#988941</td> - <td>なし</td> + <td>A-37281763<a href="#asterisk">*</a></td> + <td>N/A</td> <td>高</td> <td>クローズドソース コンポーネント</td> </tr> </tbody></table> <h2 id="google-device-updates">Google 端末のアップデート</h2> -<p>この表には最新の無線(OTA)アップデートと Google 端末のファームウェア イメージのセキュリティ パッチ レベルを記載しています。Google 端末のファームウェア イメージは、<a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>で入手できます。</p> +<p>この表には最新の無線(OTA)アップデートと Google 端末のファームウェア イメージのセキュリティ パッチレベルを記載しています。Google 端末のファームウェア イメージは、<a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>で入手できます。</p> <table> <colgroup><col width="25%" /> <col width="75%" /> </colgroup><tbody><tr> <th>Google 端末</th> - <th>セキュリティ パッチ レベル</th> + <th>セキュリティ パッチレベル</th> </tr> <tr> <td>Pixel / Pixel XL</td> @@ -1090,7 +1046,7 @@ </tr> <tr> <td>CVE-2017-0649</td> - <td>IceSword Lab, Qihoo 360 Technology Co. Ltd. の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、<a href="http://weibo.com/jfpan">pjf</a></td> + <td>Qihoo 360 Technology Co. Ltd. IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、<a href="http://weibo.com/jfpan">pjf</a></td> </tr> <tr> <td>CVE-2017-0646</td> @@ -1102,11 +1058,11 @@ </tr> <tr> <td>CVE-2017-8233</td> - <td>IceSword Lab, Qihoo 360 の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、<a href="http://weibo.com/jfpan">pjf</a></td> + <td>Qihoo 360 IceSword Lab の Jianqiang Zhao(<a href="https://twitter.com/jianqiangzhao">@jianqiangzhao</a>)、<a href="http://weibo.com/jfpan">pjf</a></td> </tr> <tr> <td>CVE-2017-7368</td> - <td><a href="http://c0reteam.org">C0RE Team</a> の Lubo Zhang(<a href="mailto:zlbzlb815@163.com">zlbzlb815@163.com</a>)、Yuan-Tsung Lo (<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>)、Xuxian Jiang</td> + <td><a href="http://c0reteam.org">C0RE Team</a> の Lubo Zhang(<a href="mailto:zlbzlb815@163.com">zlbzlb815@163.com</a>)、Yuan-Tsung Lo(<a href="mailto:computernik@gmail.com">computernik@gmail.com</a>)、Xuxian Jiang</td> </tr> <tr> <td>CVE-2017-8242</td> @@ -1118,7 +1074,7 @@ </tr> <tr> <td>CVE-2017-0648</td> - <td><a href="https://alephsecurity.com/">Aleph Research</a>, HCL Technologies の Roee Hay(<a href="https://twitter.com/roeehay">@roeehay</a>)</td> + <td>HCL Technologies <a href="https://alephsecurity.com/">Aleph Research</a> の Roee Hay(<a href="https://twitter.com/roeehay">@roeehay</a>)</td> </tr> <tr> <td>CVE-2017-7369、CVE-2017-6249、CVE-2017-6247、CVE-2017-6248</td> @@ -1130,7 +1086,7 @@ </tr> <tr> <td>CVE-2017-0640</td> - <td><a href="http://www.trendmicro.com">Trend Micro</a>, <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile/">Mobile Threat Response Team</a> の V.E.O(<a href="https://twitter.com/vysea">@VYSEa</a>)</td> + <td><a href="http://www.trendmicro.com">Trend Micro</a> <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile/">Mobile Threat Response Team</a> の V.E.O(<a href="https://twitter.com/vysea">@VYSEa</a>)</td> </tr> <tr> <td>CVE-2017-8236</td> @@ -1157,7 +1113,7 @@ <h2 id="common-questions-and-answers">一般的な質問と回答</h2> <p>上記の公開情報に対する一般的な質問についての回答は以下のとおりです。</p> -<p><strong>1. 上記の問題に対処するように端末が更新されているかどうかをどのように判断すればよいですか? +<p><strong>1. 上記の問題に対処するように端末が更新されているかどうかを確かめるには、どうすればよいですか? </strong></p> <p>端末のセキュリティ パッチ レベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel および Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。</p> @@ -1168,9 +1124,9 @@ <ul> <li>[ro.build.version.security_patch]:[2017-06-01]</li> <li>[ro.build.version.security_patch]:[2017-06-05]</li></ul> -<p><strong>2. この公開情報に 2 つのセキュリティ パッチ レベルがあるのはなぜですか?</strong></p> +<p><strong>2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?</strong></p> -<p>この公開情報では、2 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。</p> +<p>この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチ レベルを使用することが推奨されています。</p> <ul> <li>2017 年 6 月 1 日のセキュリティ パッチ レベルを使用する端末には、そのセキュリティ パッチ レベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。</li> <li>2017 年 6 月 5 日以降のセキュリティ パッチ レベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。</li></ul> @@ -1204,11 +1160,11 @@ <td>サービス拒否</td> </tr> <tr> - <td>なし</td> + <td>N/A</td> <td>該当する分類なし</td> </tr> </tbody></table> -<p><strong>4. 「参照」の列の項目はどういう意味ですか?<em></em></strong></p> +<p><strong>4. 「参照」列の項目はどういう意味ですか?<em></em></strong></p> <p>脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属す組織を示す接頭辞を含めている場合があります。<em></em></p> @@ -1240,9 +1196,9 @@ <td>Broadcom の参照番号</td> </tr> </tbody></table> -<p id="asterisk"><strong>5. 「参照」列の Android バグ ID の横にある「<a href="#asterisk">*</a>」はどういう意味ですか?<em></em></strong></p> +<p id="asterisk"><strong>5. 「参照<em></em>」列の Android バグ ID の横にある「<a href="#asterisk">*</a>」はどういう意味ですか?</strong></p> -<p>公開されていない問題には、「参照」列の Android バグ ID の横に「<a href="#asterisk">*</a>」を付けています。<em></em>この問題のアップデートは、通常、<a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> +<p>公開されていない問題には、「参照<em></em>」列の Android バグ ID の横に「<a href="#asterisk">*</a>」を付けています。この問題のアップデートは、通常、<a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p> <h2 id="versions">バージョン</h2> <table> @@ -1264,6 +1220,16 @@ <td>2017 年 6 月 7 日</td> <td>公開情報を改訂し AOSP リンクを追加</td> </tr> + <tr> + <td>1.2</td> + <td>2017 年 7 月 11 日</td> + <td>公開情報を改訂し CVE-2017-6249 を追加</td> + </tr> + <tr> + <td>1.3</td> + <td>2017 年 8 月 17 日</td> + <td>公開情報を改訂し参照番号を更新</td> + </tr> </tbody></table> </body></html>
\ No newline at end of file |