Google、1月のAndroidセキュリティ更新公開 クリティカルは4件

2021年1月6日 07:49

印刷

 Googleは4日、2021年最初となるAndroidシステムのセキュリティアップデートを公開した。アップデートは通例通り、2021-01-01と2021-01-05の2つに分けて公開されている。

【前月は】Google、12月のAndroidセキュリティ更新公開 クリティカル10件含む46件を修正

 これらのアップデートのうち最も深刻度が高い脆弱性は、システムコンポーネントセクションにあるもので、リモートの攻撃者が特別に細工された送信を使い、特権プロセスのコンテキスト内で任意のコードを実行してしまう可能性があるというもの。今回はこの脆弱性を含め、4件の深刻度クリティカルの脆弱性が修正されている。

■2021-01-01セキュリティパッチレベルの詳細

 フレームワーク、メディアフレームワーク、システムの3セクションで計22件の脆弱性に対応した。このうち、冒頭にあげたシステムコンポーネントの重大な脆弱性のほか、フレームワークセクションにも1つのクリティカルを含んでいる。

 なお今回はメディアフレームワークの脆弱性(CVE-2021-0311、CVE-2021-0312)に対応したGoogle Playシステムを通したアップデートが存在するため、対応機種を使用しているユーザーは、Google Playを通して部分的なアップデートが可能となっていることに注意したい。

●フレームワークの詳細

 15件、深刻度は1件がクリティカル、高が13件、中程度が1件。うち、最も深刻度の高い脆弱性はリモートの攻撃者が特別に細工した文字列を使用すると、永続的なDoS攻撃が可能になってしまうというもの(CVE-2021-0313)。対象となるAndroidのバージョンは8.0~11。

●メディアフレームワークの詳細

 3件で深刻度はいずれも高。このうち最も深刻度が高い脆弱性は、リモートの攻撃者が特別に細工したファイルを使用し、特権階級のコンテキスト内で任意のコードを実行できてしまう可能性があるというもの(CVE-2016-6328)。対象のAndroidのバージョンは8.0~11。

●システムの詳細

 4件で、深刻度はクリティカルが1、その他は高。このうち最も深刻度の高い脆弱性は冒頭で紹介した、特別に細工した送信に関するもの(CVE-2021-0316)で、対象のAndroidバージョンは8.0~11。

■2021-01-05セキュリティパッチレベルの詳細

 カーネルコンポーネント、MediaTekコンポーネント、Qualcommコンポーネント、Qualcommクローズドソースコンポーネントの4セクションで19件の脆弱性が修正されている。このうち最も深刻度の高いものは、Qualcommクローズドソースコンポーネントに含まれる深刻度クリティカルのもの(CVE-2020-11134、CVE-2020-11182)。内容の詳細については、Qualcomm社から直接提供される。

●カーネルコンポーネントの詳細

 3件で深刻度はいずれも高。このうち最も深刻度の高い脆弱性は、ローカルの悪意あるアプリケーションが、他のアプリケーションのデータを分離するOSのプロテクトをバイパスしてしまう可能性があるというもの。

●MediaTekコンポーネントの詳細

 Media Tek社のSoCを使用しているシステムに関連するもの。1件で深刻度は高。詳細な情報についてはMedia Tek社から直接提供される。

●Qualcommコンポーネント

 これらは、Qualcomm社のSoCを使用しているシステムに関連するもの。6件で深刻度はいずれも高。通例通り、このセクションの詳細な情報についてはQualcomm社から直接提供される。

●Qualcommクローズドソースコンポーネントの詳細

 これらはQualcomm社のSoCを使用しているシステムに関連するもので、9件。深刻度はクリティカルが2件で残り7件は高。このセクションの詳細な情報についてもQualcomm社から直接提供される。

 今回は2021年最初ということもあって、やや少なめの修正となっているが、中にクリティカルが4件も含まれていることには注目したい。

 例によってAndroidの更新はベンダーまたはキャリアからの提供となっているが、今回はGoogle Playシステムによるアップデートも1件含まれているため、対応機種を使用していれば、該当部分についてはユーザーが直接更新することになる点に注意したい。(記事:kurishobo・記事一覧を見る

関連キーワード

関連記事