Google、1月のAndroidセキュリティ更新公開 クリティカルは4件
2021年1月6日 07:49
Googleは4日、2021年最初となるAndroidシステムのセキュリティアップデートを公開した。アップデートは通例通り、2021-01-01と2021-01-05の2つに分けて公開されている。
【前月は】Google、12月のAndroidセキュリティ更新公開 クリティカル10件含む46件を修正
これらのアップデートのうち最も深刻度が高い脆弱性は、システムコンポーネントセクションにあるもので、リモートの攻撃者が特別に細工された送信を使い、特権プロセスのコンテキスト内で任意のコードを実行してしまう可能性があるというもの。今回はこの脆弱性を含め、4件の深刻度クリティカルの脆弱性が修正されている。
■2021-01-01セキュリティパッチレベルの詳細
フレームワーク、メディアフレームワーク、システムの3セクションで計22件の脆弱性に対応した。このうち、冒頭にあげたシステムコンポーネントの重大な脆弱性のほか、フレームワークセクションにも1つのクリティカルを含んでいる。
なお今回はメディアフレームワークの脆弱性(CVE-2021-0311、CVE-2021-0312)に対応したGoogle Playシステムを通したアップデートが存在するため、対応機種を使用しているユーザーは、Google Playを通して部分的なアップデートが可能となっていることに注意したい。
●フレームワークの詳細
15件、深刻度は1件がクリティカル、高が13件、中程度が1件。うち、最も深刻度の高い脆弱性はリモートの攻撃者が特別に細工した文字列を使用すると、永続的なDoS攻撃が可能になってしまうというもの(CVE-2021-0313)。対象となるAndroidのバージョンは8.0~11。
●メディアフレームワークの詳細
3件で深刻度はいずれも高。このうち最も深刻度が高い脆弱性は、リモートの攻撃者が特別に細工したファイルを使用し、特権階級のコンテキスト内で任意のコードを実行できてしまう可能性があるというもの(CVE-2016-6328)。対象のAndroidのバージョンは8.0~11。
●システムの詳細
4件で、深刻度はクリティカルが1、その他は高。このうち最も深刻度の高い脆弱性は冒頭で紹介した、特別に細工した送信に関するもの(CVE-2021-0316)で、対象のAndroidバージョンは8.0~11。
■2021-01-05セキュリティパッチレベルの詳細
カーネルコンポーネント、MediaTekコンポーネント、Qualcommコンポーネント、Qualcommクローズドソースコンポーネントの4セクションで19件の脆弱性が修正されている。このうち最も深刻度の高いものは、Qualcommクローズドソースコンポーネントに含まれる深刻度クリティカルのもの(CVE-2020-11134、CVE-2020-11182)。内容の詳細については、Qualcomm社から直接提供される。
●カーネルコンポーネントの詳細
3件で深刻度はいずれも高。このうち最も深刻度の高い脆弱性は、ローカルの悪意あるアプリケーションが、他のアプリケーションのデータを分離するOSのプロテクトをバイパスしてしまう可能性があるというもの。
●MediaTekコンポーネントの詳細
Media Tek社のSoCを使用しているシステムに関連するもの。1件で深刻度は高。詳細な情報についてはMedia Tek社から直接提供される。
●Qualcommコンポーネント
これらは、Qualcomm社のSoCを使用しているシステムに関連するもの。6件で深刻度はいずれも高。通例通り、このセクションの詳細な情報についてはQualcomm社から直接提供される。
●Qualcommクローズドソースコンポーネントの詳細
これらはQualcomm社のSoCを使用しているシステムに関連するもので、9件。深刻度はクリティカルが2件で残り7件は高。このセクションの詳細な情報についてもQualcomm社から直接提供される。
今回は2021年最初ということもあって、やや少なめの修正となっているが、中にクリティカルが4件も含まれていることには注目したい。
例によってAndroidの更新はベンダーまたはキャリアからの提供となっているが、今回はGoogle Playシステムによるアップデートも1件含まれているため、対応機種を使用していれば、該当部分についてはユーザーが直接更新することになる点に注意したい。(記事:kurishobo・記事一覧を見る)