Google、3月のAndroid月例セキュリティパッチ公開　クリティカルは17件

　Googleは3月5日（現地時間）に、3月のAndroidセキュリティアップデートを公開した。アップデートは通例どおり、2020-03-01と2020-03-05の2回にわけられて発表されている。

【前月は】Google、2月のAndroid月例セキュリティパッチ公開　クリティカルは2件

　今回のアップデートには深刻度がクリティカルにランクされるものが17含まれており、このうち最も深刻度の高いものは、メディアフレームワークに関する、リモートの攻撃者が特別に細工したファイルを使い、特権プロセスのコンテキスト内で任意のコードを実行できてしまうという脆弱性に対応するもの。その他のクリティカルはQualcommのクローズドコンポーネントに関する修正となっている。

■2020ｰ03-01セキュリティパッチレベルの内容

　03-01レベルでは、フレームワーク、メディアフレームワーク、システムと3ジャンルについて合計10件の脆弱性について修正が行われている。

●フレームワークに関するもの

　1件で深刻度は高。対応するAndroidのバージョンは10。悪意のあるローカルのアプリケーションによって、あるアプリケーションが使用するデータを他のアプリケーションから保護するためのOSの保護システムが、バイパスされてしまう可能性があるという脆弱性に対応した（CVE-2020-0031）。

●メディアフレームワークに関するもの

　3件で、うち1件が深刻度クリティカル、その他2件は深刻度が高。クリティカルについては、対応するAndroidのバージョンが8.0～10で、冒頭でも説明した特権プロセスのコンテキスト内で任意のコードを実行されてしまう脆弱性（CVE-2020-0032）に関する修正となっている。

●システムに関するもの

　6件でいずれも深刻度は高。このうち最も深刻度の高いものでは、悪意あるローカルのアプリケーションがユーザーの操作をバイパスしてアクセス権を昇格してしまう可能性があるというもの（CVE-2020-0036）。対応するAndroidのバージョンは8.0～10となっている。

■2020-03-05セキュリティパッチレベルの内容

　03-05レベルでは、システム、カーネルコンポーネント、FPCコンポーネント、Media Tekコンポーネント、Qualcommコンポーネント、Qualcommクローズドコンポーネントの6ジャンル60件。Qualcommクローズドコンポーネントの修正が先月の4件から40件と急増した点と、久々にMedia Tek社のコンポーネントに関する修正が含まれている点が注目される。

●システムに関するもの

　1件で深刻度は高。ローカルの攻撃者が特別に細工したファイルをス使い、特権プロセスのコンテキスト内で任意のコードを実行してしまう可能性があるという脆弱性（CVE-2019-2194）への修正で、対応するAndroidバージョンは9。

●カーネルコンポーネントに関するもの

　4件で深刻度はいずれも高。このうち最も深刻度の高いものは、ローカルの攻撃者が特別に細工されたUSBデバイスを用いると、特権プロセスのコンテキスト内で任意のコードが実行できてしまう可能性がある（CVE-2019-19527）という脆弱性への対応。

●FPCコンポーネントに関するもの

　このセクションは指紋認証に関するコンポーネント。6件でうち3件が高、残り3件は中程度となっている。このうち最も深刻度の高いものは、悪意あるローカルのアプリケーションがユーザーの操作をバイパスして、追加のアクセス権を得てしまう可能性があるという脆弱性への対応になっている。

●Media Tekコンポーネントに関するもの

　1件で深刻度は高。Media Tekは台湾の半導体メーカー。このチップに2019年初頭あたりからroot化に関する脆弱性（CVE-2020-0069）として報告されていたもので、Media TekのSoCを利用した機種を利用しているユーザーは注意が必要であり、xda-developersなどは深刻度を独自にクリティカルとして警告していたものだ（参考URL　https://www.xda-developers.com/mediatek-su-rootkit-exploit/）。

●Qualcommコンポーネントに関するもの

　8件で深刻度はいずれも高。内容としては、USB、WLAN、オーディオ、グラフィックスのコンポーネントに関する修正。これらの詳細情報については、Qualcommから直接提供されている。

●Qualcommクローズドソースコンポーネントに関するもの

　今回はこのセクションの修正が非常に多く、40件に上る。このうち16件は深刻度クリティカルで、残り24件が深刻度高となっている。これらの修正の詳細情報については、通例にしたがってQualcommから直接提供されている。

　該当のセクションでも述べているが、Androidのセキュリティ更新については原則各機種のベンダーから提供されることになっており、ユーザーとしては修正が提供されるまで待つ必要がある。だが特に今回のようにクリティカル、あるいはクリティカルに準じるような重大な修正が公開されている場合は、ユーザー側からも積極的に情報収集を行うなどのアクションも重要だ。（記事：kurishobo・記事一覧を見る）