Google、9月のAndroid月例セキュリティパッチ公開　クリティカルは8件

　Googleは9月8日、9月のAndroidセキュリティアップデートを公開した。通例に従い、2020-09-01と2020-09-05の2つのセキュリティパッチレベルにわけて公開されており、09-01レベルのセキュリティパッチでは4セクションで計24件、09-05レベルでは4セクション計29件の修正が適用されている。

　このうち深刻度がクリティカルに分類されているものは、09-01レベルでメディアフレームワークに1件、システムで2件、09-05レベルではQualcommクローズドソースコンポーネントに5件の計8件となっている。

　今回のセキュリティアップデートのうち最も深刻度が高いものは、09-01レベルのメディアフレームワークに関するもので、リモートの攻撃者が特別に細工したファイルを使い、特権プロセスのコンテキスト内で任意のコードを実行する可能性があるとされている（CVE-2020-0245）。

■2020-09-01セキュリティパッチレベルの詳細

　フレームワーク、メディアフレームワーク、システム、Google Playシステムアップデートの4セクションで計24件のアップデートがあった。

●フレームワークの詳細

　10件で深刻度はすべて高。このうち深刻度の最も高いものでは、悪意のあるアプリケーションがユーザーの操作要件をバイパスし、追加のアクセス権を得てしまう脆弱性に対応している（CVE-2020-0074、CVE-2020-0388等）。

●メディアフレームワークの詳細

　7件、うちCVE-2020-0245のAndroid8.0～9に対応するパッチが深刻度クリティカルで、冒頭で紹介した今回のパッチのうち最も深刻度が高いものとなっている。その他の深刻度は高。

●システムの詳細

　5件、うち2件が深刻度クリティカルで、他3件が高。2件のクリティカルのうち深刻度が高いものは、リモートの攻撃者が特別に細工した通信を通じて、特権プロセスのコンテキスト内で任意のコードを実行してしまうというもの（CVE-2020-0380）で、対応するAndroidのバージョンは8.0～10。もう1つのクリティカルは、情報開示に関するもの（CVE-2020-0396）で、対応するバージョンはこちらも8.0～10。

●Google Playシステムのアップデートの詳細

　今回の09-01セキュリティパッチレベルには、久々にPlayシステムのアップデートが含まれている。アップデートされたのは、メディアフレームワークの脆弱性に関して、メディアコーデックおよびメディアフレームワークコンポーネントの2件（CVE-2020-0245、CVE-2020-0383）。

■2020-09-05セキュリティパッチレベルの詳細

　カーネル、MediaTekコンポーネント、Qualcommコンポーネント、Qualcommクローズドソースコンポーネントの4セクション計29件に、セキュリティアップデートが適用された。

●カーネルの詳細

　3件で深刻度はいずれも高。このうち最も深刻度が高いものは、ローカルの攻撃者が特別に細工したファイルを使用し、特権プロセスのコンテキスト内で任意のコードを実行してしまう可能性があるというもの。

●MediaTekコンポーネントの詳細

　このセクションはMedia Tek社製のSoCに関するもので、4件の深刻度はすべて高。詳細な情報については、MediaTek社から直接入手可能となっている。

●Qualcommコンポーネントの詳細

　このセクションはQualcomm社製のSoCに関するもの。5件の深刻度はすべて高で、このセクションに関する詳細な情報は、通例に従いQualcomm社から直接提供される。

●Qualcommクローズドソースコンポーネントの詳細

　このセクションはQualcomm社製のクローズドコンポーネントに関するもの。17件のうちクリティカルが5件（CVE-2019-10628、CVE-2019-10629、CVE-2019-13994、CVE-2020-3621、CVE-2020-3634）、その他12件はすべて高となっている。この修正に関する詳細は、Qualcomm社のセキュリティアラートで紹介されている。

　Qualcomm社のクローズドソースコンポーネントに関しては、使用頻度が高いため脆弱性も確認されやすい部分があり、毎月多くの修正が適用されていることに関しては、メンテナンスがしっかりしているという評価もできよう。ただ、7月の適用5件に対し、8月は20件を超え、9月も17件の修正がなされており、それだけ脆弱性が多く発見されているという見方もできる。

　Androidに関しては、一般ユーザーはGoogle Playのアップデート以外は、各製造メーカーがアップデートを行うことを待つのみであるが、毎月どのような脆弱性があり、どのような修正が適用されているかについては各自注目しておく必要がある。（記事：kurishobo・記事一覧を見る）