Google、5月のAndroid月例セキュリティパッチ公開　クリティカルは3件

　Googleは5月5日（現地時間）、2020年5月のAndroidセキュリティアップデートを、2020-05-01バージョンと2020-05-05バージョンにわけて公開した。

【前月は】Google、4月のAndroid月例セキュリティパッチ公開　クリティカルは13件

　今回のアップデートのうち、深刻度がクリティカルに分類されているものは、05-01バージョンで2件、05-05バージョンで1件の計3件。このうち最も重大なパッチは、システムコンポーネントの重大な脆弱性として、1件でリモートの攻撃者が特別に細工したファイルを使用して、特権階級のコンテクスト内で任意のコードを実行してしまう可能性があるという脆弱性に対応するものだ（CVE-2020-0103）。

　また、その他で深刻度がクリティカルに分類されているのは、フレームワークに関するものが1件、Qualcommクローズドソースコンポーネントに関するものが1件となっている。

■2020-05-01レベルセキュリティパッチレベルの詳細

　05-01レベルでは、冒頭に述べたシステムコンポーネントの重大な脆弱性に対するものを含めて、フレームワーク、メディアフレームワーク、システムの3セクションに計15件のセキュリティ対応があった。

●フレームワークに関するもの

　3件で深刻度はクリティカルが1件、その他2件が高となっている。深刻度クリティカルに分類されているのは、ローカルの攻撃者が特別に細工したファイルを使用し、特権階級のコンテクスト内で任意のコードを実行してしまう危険性があるというもの（CVE-2020-0096）で、対応するAndroidのバージョンは8.0～9となっている。

●メディアフレームワークに関するもの

　4件で深刻度は高。このうち最も深刻度の高いものは、ローカルの攻撃者がユーザーの操作をバイパスして、追加のアクセス権を得てしまう可能性があるというもの（VE-2020-0094）で、対応するAndroidのバージョンは9と10。

●システムに関するもの

　8件で深刻度はクリティカルが1件、高が6件、中程度が1件となっている。ここには冒頭で上げた、今月最も深刻度の高い脆弱性に対応するパッチが含まれている（CVE-2020-0103）。対応するAndroidのバージョンは9と10。

■2020-05-05セキュリティパッチレベルの詳細

　05-05レベルでは、Qualcommのクローズドソースコンポーネントにある深刻度クリティカルの脆弱性に対応するものを含めて、カーネルコンポーネント、MediaTekコンポーネント、Qualcommコンポーネント、Qualcommクローズドソースコンポーネント10の4セクションで計24件のセキュリティ対応があった。

●カーネルコンポーネントに関するもの

　2件で深刻度は高。深刻度が高い脆弱性はカーネルスケジューラーにある、ローカルの攻撃者が特別に細工したファイルを使用して、特権階級のコンテクスト内で、任意のコードを実行してしまう脆弱性に対応したもの（CVE-2020-0110）。

●MediaTekコンポーネントに関するもの

　4件で深刻度は高。MediaTek社のSoCを使用している機種に対応するもので、このセクションの脆弱性は、特権階級を持つローカルの攻撃者が機密性の高いデータにアクセスできてしまう可能性があるというもの。

●Qualcommコンポーネントに関するもの

　8件で深刻度はすべて高。これらはQualcomm社製のSoCを搭載する機種に関連するもので、詳細については恒例どおりQualcomm社から直接提供される。

●Qualcommクローズドソースコンポーネントに関するもの

　10件で深刻度はクリティカルが1件（CVE-2020-3641）、高が9件となっている。クローズドソースコンポーネントであるため内容は明らかにされないが、詳細についてはこれも恒例どおり、Qualcomm社から直接提供される。

　Androidのセキュリティアップデートは、Google Playのシステムアップデートで対処されるものの他は、各キャリアまたは製造メーカーからの直接提供となっている。5月はGoogle Playによるものは提供されていないため、各キャリアまたはメーカーからの配信待ちとなるが、クリティカルな脆弱性に関連するものもあり、アップデートの配信情報には注意しておきたい。（記事：kurishobo・記事一覧を見る）