Google、12月のAndroidセキュリティ更新公開 クリティカル10件含む46件を修正
2020年12月8日 16:54
Googleは7日、Androidシステムのセキュリティアップデートを公開した。今回のアップデートでは、46件の脆弱性が修正されており、そのうち10件が深刻度クリティカルとなっている。アップデートは通例通り、2020-12-01と2020-12-05の2つのパッチレベルに分けて公開されている。
【前月は】Google、11月のAndroidセキュリティ更新公開 深刻度クリティカルは5件
今回の修正のうち、もっとも深刻度の高い脆弱性は、メディアフレームワークのセクションに含まれるもので、リモートの攻撃者が特別に細工したファイルを使用して、特権階級のコンテキスト内で任意のコードを実行してしまう可能性があるというものだ。
■2020-12-01セキュリティパッチレベルの詳細
フレームワーク、メディアフレームワーク、システムの各セクションであわせて13件の修正が行われている。うち1件の冒頭に挙げた深刻度クリティカルの修正を含んでいる。
●フレームワーク
8件で深刻度はいずれも高。このうち深刻度の高い脆弱性は、ローカルにある悪意あるアプリケーションがユーザーの操作要件を無視して、追加のアクセス権を取得してしまう可能性があるというもの(CVE-2020-0099など)。対象となるAndroidのバージョンは8.0~10、および11(CVE-2020-0440)。
●メディアフレームワーク
2件でうち1件は冒頭でとりあげた深刻度クリティカルの脆弱性(CVE-2020-0458)。対象となるAndroidバージョンはクリティカルの脆弱性が8.0~10、その他が10~11である。
●システム
3件で深刻度はいずれも高。このセクションでもっとも深刻度の高い脆弱性は、追加のアクセス権を必要とせずに、リモートからの情報開示につながるというもの(CVE-2020-0460など)。対象となるAndroidバージョンはCVE-2020-0460についてが11のみ、その他は8.0~11となっている。
なお、今回のアップデートではGooglePlayシステムのセキュリティアップデートは含まれていない。
■2020-12-05セキュリティパッチレベルの詳細
カーネルコンポーネント、Broadcomコンポーネント、MedaTekコンポーネント、Qualcommコンポーネント、Qualcommクローズドソースコンポーネントの5セクションで43件の修正が行われている。この中には9件の深刻度クリティカルな脆弱性に関する修正が含まれている。
●カーネルコンポーネント
3件で深刻度はいずれも高。このうちもっとも深刻度の高い脆弱性は、ローカルの悪意あるアプリケーションが、特権プロセスのコンテキスト内で任意のコードを実行してしまう可能性があるというもの。
●Broadcomコンポーネント
2件で深刻度はいずれも高。これらはBroadcom社のSoCを使用しているシステムに影響を与えるもので、詳細についてはBroadcomから直接入手できる。
●MediaTekコンポーネント
3件でいずれも深刻度は高。これらはMediaTekのSoCを使用しているシステムに影響を与えるもので、詳しい情報については直接MediaTekから直接提供される。
●Qualcommコンポーネント
5件で1件が深刻度クリティカル(CVE-2020-11225)、その他はいずれも深刻度高となっている。これらの脆弱性の詳細な情報については、Qualcommから直接提供される。
●Qualcommクローズドソースコンポーネント
20件で、深刻度は8件(CVE-2020-11225など)がクリティカル、その他はいずれも高となっている。これらの問題に関する詳細は同社のセキュリティ情報、またはセキュリティアラートから直接入手可能になっている。
今回は、2020年の締めくくとなる12月ということで、46件と多めの修正がなされている。例によってAndroidのアップデートは、キャリアまたは機種の提供メーカーから直接ユーザーに配布されるため、アップデートの適用については配信を待つしかない。とくにQualcommのSoCによる機種のユーザーについては、9件のクリティカルを含む25件の修正が提供されており、システム更新などのニュースはしっかりと確認しておく必要がある。(記事:kurishobo・記事一覧を見る)