Google、4月のAndroid月例セキュリティパッチ公開 クリティカルは13件
2020年4月9日 16:31
Googleは2020年4月のAndroidセキュリティアップデートを4月5日(現地時間)に公開した。恒例どおりアップデート2020-04-01と2020-04-05の2回にわけられている。
【前月は】Google、3月のAndroid月例セキュリティパッチ公開 クリティカルは17件
今回のアップデートのうち、深刻度がクリティカルに分類されているものは13項目あるが、これは先月の17項目に続き多くの修正となる。このうち、最も深刻度が高いものは、2020-04-01のシステムコンポーネントに含まれる4件で、リモートの攻撃者が特別に細工したファイルを使用し、特権階級のコンテクスト内で任意のコードを実行してしまう可能性があるという脆弱性に関するものだ(CVE-2020ー0070~0073)。
その他の深刻度がクリティカルに分類されている脆弱性の修正に関しては、Qualcommコンポーネントに関するものが1件、Qualcommクローズドコンポーネントに関するものが8件となっている。
■2020-04-01レベルセキュリティパッチの詳細
このセクションには、冒頭で述べたシステムコンポーネントの深刻度クリティカルに分類される脆弱性の修正を含む、フレームワーク、メディアフレームワーク、システムの3ジャンル計12件の脆弱性の修正が行われている。
●フレームワークに関するもの
合計6件で、うち深刻度高が5件、中が1件となっている。このうち最も深刻な脆弱性は、悪意あるローカルのアプリケーションがユーザーの操作をバイパスして、追加のアクセス権を得てしまうというもの。対応するAndroidのバージョンは、CVE-2020ー0080とCVE-2020-0082が10のみ、その他の4件は8.0から10となっている。
●メディアフレームワークに関するもの
2件で深刻度は高。この脆弱性はローカルの攻撃者が特別に細工したファイルを使い、特権プロセスのコンテクスト内で任意のコードを実行してしまう可能性があるというもの。対応するAndroidのバージョンは9と10。
●システムに関するもの
4件で深刻度はクリティカル。冒頭で述べたように、リモートの攻撃者が特別に細工したファイルを使用して、特権階級のコンテクスト内で任意のコードを実行してしまう可能性があるという脆弱性に対応した(CVE-2020-0070~0073)。対応するAndroidのバージョンは8.0~10。
■2020-04-05レベルセキュリティパッチの詳細
このセクションでは、フレームワーク、カーネルコンポーネント、FPCコンポーネント、Qualcommコンポーネント、Qualcommクローズドコンポーネントの5ジャンル計43項目の脆弱性への修正が行われている。このうち深刻度クリティカルのものが、Qualcommコンポーネントに1件、Qualcommクローズドコンポーネントに8件存在している。
今月もQualcomm関連の脆弱性修正が多くあるため、同社のSOCを搭載する機種を使用されている人は注意が必要だろう。
●フレームワークに関するもの
1件で深刻度は高。ローカルの攻撃者が、機密度の高いデータにアクセスできてしまう可能性があるという脆弱性に対応したもの(CVE-2019-2056)。対応Androidバージョンは10。
●カーネルコンポーネントに関するもの
3件で深刻度はいずれも高。内訳はUSB入力ドライバー、USBHIDドライバー、オーディオサブシステムの3種。このセクションで最も深刻度が高い脆弱性は、ローカルの攻撃者が特別に細工したUSBデバイスを使用して、特権プロセスのコンテクスト内で任意のコードを実行できてしまうというもの。
●FPCコンポーネントに関するもの
このセクションは指紋認証に関するコンポーネントで3件、深刻度は1件が高、残り2件は中程度となっている。このうち深刻度高の脆弱性は、悪意あるローカルのアプリケーションがユーザーの操作をバイパスして、追加のアクセス権を得てしまうというもの(CVE-2020-0076)。
●Qualcommコンポーネントに関するもの
6件で深刻度はクリティカルが1件、残り5件が高となっている。このうち深刻度クリティカルに分類されているのは、WLANに関するもの(CVE-2019-14131)であり、その他の5件はオーディオ、カメラ、カーネル、ビデオ、WLANに関するものとなっている。本セクションの脆弱性に関する詳細は通例によりQualcommから直接提供されている。
●Qualcommクローズドコンポーネントに関するもの
合計で30件。深刻度は8件がクリティカル、残り22件が高となっている。本セクションも脆弱性に関する情報は直接Qualcommから提供されている。
4月に入り、国内でもコロナ禍による緊急事態宣言がなされたところ。各企業では在宅リモートワークなどの導入が盛んになってきている。
そうした中で、使用する機器類の安全性は大きな課題であり、今回とりあげたAndroid機器の脆弱性修正に限らず、家庭内のネットワークや各デバイス類の安全性について、これを機会に1度大きな見直しをはかることをお勧めしたい。(記事:kurishobo・記事一覧を見る)