Android のセキュリティに関する公開情報 - 2017 年 3 月
2017 年 3 月 6 日公開 | 2017 年 3 月 7 日更新
【外部リンク】
https://source.android.com/security/bulletin/2017-03-01?hl=ja
問題 CVE 重大度 Google 端末への影響
OpenSSL と BoringSSL でのリモートコード実行の脆弱性 CVE-2016-2182 重大 あり
メディアサーバーでのリモートコード実行の脆弱性 CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471、CVE-2017-0472、CVE-2017-0473、CVE-2017-0474 重大 あり
リカバリ ベリファイアでの権限昇格の脆弱性 CVE-2017-0475 重大 あり
AOSP メッセージでのリモートコード実行の脆弱性 CVE-2017-0476 高 あり
libgdx でのリモートコード実行の脆弱性 CVE-2017-0477 高 あり
Framesequence ライブラリでのリモートコード実行の脆弱性 CVE-2017-0478 高 あり
NFC での権限昇格の脆弱性 CVE-2017-0481 高 あり
オーディオサーバーでの権限昇格の脆弱性 CVE-2017-0479、CVE-2017-0480 高 あり
メディアサーバーでのサービス拒否の脆弱性 CVE-2017-0482、CVE-2017-0483、CVE-2017-0484、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0488 高 あり
ロケーション マネージャでの権限昇格の脆弱性 CVE-2017-0489 中 あり
Wi-Fi での権限昇格の脆弱性 CVE-2017-0490 中 あり
パッケージ マネージャでの権限昇格の脆弱性 CVE-2017-0491 中 あり
システム UI での権限昇格の脆弱性 CVE-2017-0492 中 あり
AOSP メッセージでの情報開示の脆弱性 CVE-2017-0494 中 あり
メディアサーバーでの情報開示の脆弱性 CVE-2017-0495 中 あり
セットアップ ウィザードでのサービス拒否の脆弱性 CVE-2017-0496 中 あり
メディアサーバーでのサービス拒否の脆弱性 CVE-2017-0497 中 あり
セットアップ ウィザードでのサービス拒否の脆弱性 CVE-2017-0498 中 なし*
オーディオサーバーでのサービス拒否の脆弱性 CVE-2017-0499 低 あり
* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
セキュリティ パッチ レベル 2017-03-05 の脆弱性の概要
セキュリティ パッチ レベル 2017-03-05 以降では、2017-03-01 に関連するすべての問題に加えて、下記の問題に対処する必要があります。
問題 CVE 重大度 Google 端末への影響
MediaTek コンポーネントでの権限昇格の脆弱性 CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0503、CVE-2017-0504、CVE-2017-0505、CVE-2017-0506 重大 なし*
NVIDIA GPU ドライバでの権限昇格の脆弱性 CVE-2017-0337、CVE-2017-0338、CVE-2017-0333、CVE-2017-0306、CVE-2017-0335 重大 あり
カーネル ION サブシステムでの権限昇格の脆弱性 CVE-2017-0507、CVE-2017-0508 重大 あり
Broadcom Wi-Fi ドライバでの権限昇格の脆弱性 CVE-2017-0509 重大 なし*
カーネル FIQ デバッガでの権限昇格の脆弱性 CVE-2017-0510 重大 あり
Qualcomm GPU ドライバでの権限昇格の脆弱性 CVE-2016-8479 重大 あり
カーネル ネットワーク サブシステムでの権限昇格の脆弱性 CVE-2016-9806、CVE-2016-10200 重大 あり
Qualcomm コンポーネントでの脆弱性 CVE-2016-8484、CVE-2016-8485、CVE-2016-8486、CVE-2016-8487、CVE-2016-8488 重大 なし*
カーネル ネットワーク サブシステムでの権限昇格の脆弱性 CVE-2016-8655、CVE-2016-9793 高 あり
Qualcomm 入力ハードウェア ドライバでの権限昇格の脆弱性 CVE-2017-0516 高 あり
MediaTek ハードウェア センサー ドライバでの権限昇格の脆弱性 CVE-2017-0517 高 なし*
Qualcomm ADSPRPC ドライバでの権限昇格の脆弱性 CVE-2017-0457 高 あり
Qualcomm 指紋認証センサー ドライバでの権限昇格の脆弱性 CVE-2017-0518、CVE-2017-0519 高 あり
Qualcomm crypto エンジン ドライバでの権限昇格の脆弱性 CVE-2017-0520 高 あり
Qualcomm カメラドライバでの権限昇格の脆弱性 CVE-2017-0458、CVE-2017-0521 高 あり
MediaTek APK での権限昇格の脆弱性 CVE-2017-0522 高 なし*
Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性 CVE-2017-0464、CVE-2017-0453、CVE-2017-0523 高 あり
Synaptics タッチスクリーン ドライバでの権限昇格の脆弱性 CVE-2017-0524 高 あり
Qualcomm IPA ドライバでの権限昇格の脆弱性 CVE-2017-0456、CVE-2017-0525 高 あり
HTC センサーハブ ドライバでの権限昇格の脆弱性 CVE-2017-0526、CVE-2017-0527 高 あり
NVIDIA GPU ドライバでの権限昇格の脆弱性 CVE-2017-0307 高 なし*
Qualcomm ネットワーク ドライバでの権限昇格の脆弱性 CVE-2017-0463、CVE-2017-0460 高 あり
カーネル セキュリティ サブシステムでの権限昇格の脆弱性 CVE-2017-0528 高 あり
Qualcomm SPCom ドライバでの権限昇格の脆弱性 CVE-2016-5856、CVE-2016-5857 高 なし*
カーネル ネットワーク サブシステムでの情報開示の脆弱性 CVE-2014-8709 高 あり
MediaTek ドライバでの情報開示の脆弱性 CVE-2017-0529 高 なし*
Qualcomm ブートローダーでの情報開示の脆弱性 CVE-2017-0455 高 あり
Qualcomm 電源ドライバでの情報開示の脆弱性 CVE-2016-8483 高 あり
NVIDIA GPU ドライバでの情報開示の脆弱性 CVE-2017-0334、CVE-2017-0336 高 あり
カーネル暗号化サブシステムでのサービス拒否の脆弱性 CVE-2016-8650 高 あり
Qualcomm カメラドライバでの権限昇格の脆弱性(端末固有) CVE-2016-8417 中 あり
Qualcomm Wi-Fi ドライバでの情報開示の脆弱性 CVE-2017-0461、CVE-2017-0459、CVE-2017-0531 中 あり
MediaTek ビデオ コーデック ドライバでの情報開示の脆弱性 CVE-2017-0532 中 なし*
Qualcomm ビデオドライバでの情報開示の脆弱性 CVE-2017-0533、CVE-2017-0534、CVE-2016-8416、CVE-2016-8478 中 あり
Qualcomm カメラドライバでの情報開示の脆弱性 CVE-2016-8413、CVE-2016-8477 中 あり
HTC サウンド コーデック ドライバでの情報開示の脆弱性 CVE-2017-0535 中 あり
Synaptics タッチスクリーン ドライバでの情報開示の脆弱性 CVE-2017-0536 中 あり
カーネル USB ガジェット ドライバでの情報開示の脆弱性 CVE-2017-0537 中 あり
Qualcomm カメラドライバでの情報開示の脆弱性 CVE-2017-0452 低 あり
2017 年 3 月 6 日公開 | 2017 年 3 月 7 日更新
【外部リンク】
https://source.android.com/security/bulletin/2017-03-01?hl=ja
問題 CVE 重大度 Google 端末への影響
OpenSSL と BoringSSL でのリモートコード実行の脆弱性 CVE-2016-2182 重大 あり
メディアサーバーでのリモートコード実行の脆弱性 CVE-2017-0466、CVE-2017-0467、CVE-2017-0468、CVE-2017-0469、CVE-2017-0470、CVE-2017-0471、CVE-2017-0472、CVE-2017-0473、CVE-2017-0474 重大 あり
リカバリ ベリファイアでの権限昇格の脆弱性 CVE-2017-0475 重大 あり
AOSP メッセージでのリモートコード実行の脆弱性 CVE-2017-0476 高 あり
libgdx でのリモートコード実行の脆弱性 CVE-2017-0477 高 あり
Framesequence ライブラリでのリモートコード実行の脆弱性 CVE-2017-0478 高 あり
NFC での権限昇格の脆弱性 CVE-2017-0481 高 あり
オーディオサーバーでの権限昇格の脆弱性 CVE-2017-0479、CVE-2017-0480 高 あり
メディアサーバーでのサービス拒否の脆弱性 CVE-2017-0482、CVE-2017-0483、CVE-2017-0484、CVE-2017-0485、CVE-2017-0486、CVE-2017-0487、CVE-2017-0488 高 あり
ロケーション マネージャでの権限昇格の脆弱性 CVE-2017-0489 中 あり
Wi-Fi での権限昇格の脆弱性 CVE-2017-0490 中 あり
パッケージ マネージャでの権限昇格の脆弱性 CVE-2017-0491 中 あり
システム UI での権限昇格の脆弱性 CVE-2017-0492 中 あり
AOSP メッセージでの情報開示の脆弱性 CVE-2017-0494 中 あり
メディアサーバーでの情報開示の脆弱性 CVE-2017-0495 中 あり
セットアップ ウィザードでのサービス拒否の脆弱性 CVE-2017-0496 中 あり
メディアサーバーでのサービス拒否の脆弱性 CVE-2017-0497 中 あり
セットアップ ウィザードでのサービス拒否の脆弱性 CVE-2017-0498 中 なし*
オーディオサーバーでのサービス拒否の脆弱性 CVE-2017-0499 低 あり
* Android 7.0 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。
セキュリティ パッチ レベル 2017-03-05 の脆弱性の概要
セキュリティ パッチ レベル 2017-03-05 以降では、2017-03-01 に関連するすべての問題に加えて、下記の問題に対処する必要があります。
問題 CVE 重大度 Google 端末への影響
MediaTek コンポーネントでの権限昇格の脆弱性 CVE-2017-0500、CVE-2017-0501、CVE-2017-0502、CVE-2017-0503、CVE-2017-0504、CVE-2017-0505、CVE-2017-0506 重大 なし*
NVIDIA GPU ドライバでの権限昇格の脆弱性 CVE-2017-0337、CVE-2017-0338、CVE-2017-0333、CVE-2017-0306、CVE-2017-0335 重大 あり
カーネル ION サブシステムでの権限昇格の脆弱性 CVE-2017-0507、CVE-2017-0508 重大 あり
Broadcom Wi-Fi ドライバでの権限昇格の脆弱性 CVE-2017-0509 重大 なし*
カーネル FIQ デバッガでの権限昇格の脆弱性 CVE-2017-0510 重大 あり
Qualcomm GPU ドライバでの権限昇格の脆弱性 CVE-2016-8479 重大 あり
カーネル ネットワーク サブシステムでの権限昇格の脆弱性 CVE-2016-9806、CVE-2016-10200 重大 あり
Qualcomm コンポーネントでの脆弱性 CVE-2016-8484、CVE-2016-8485、CVE-2016-8486、CVE-2016-8487、CVE-2016-8488 重大 なし*
カーネル ネットワーク サブシステムでの権限昇格の脆弱性 CVE-2016-8655、CVE-2016-9793 高 あり
Qualcomm 入力ハードウェア ドライバでの権限昇格の脆弱性 CVE-2017-0516 高 あり
MediaTek ハードウェア センサー ドライバでの権限昇格の脆弱性 CVE-2017-0517 高 なし*
Qualcomm ADSPRPC ドライバでの権限昇格の脆弱性 CVE-2017-0457 高 あり
Qualcomm 指紋認証センサー ドライバでの権限昇格の脆弱性 CVE-2017-0518、CVE-2017-0519 高 あり
Qualcomm crypto エンジン ドライバでの権限昇格の脆弱性 CVE-2017-0520 高 あり
Qualcomm カメラドライバでの権限昇格の脆弱性 CVE-2017-0458、CVE-2017-0521 高 あり
MediaTek APK での権限昇格の脆弱性 CVE-2017-0522 高 なし*
Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性 CVE-2017-0464、CVE-2017-0453、CVE-2017-0523 高 あり
Synaptics タッチスクリーン ドライバでの権限昇格の脆弱性 CVE-2017-0524 高 あり
Qualcomm IPA ドライバでの権限昇格の脆弱性 CVE-2017-0456、CVE-2017-0525 高 あり
HTC センサーハブ ドライバでの権限昇格の脆弱性 CVE-2017-0526、CVE-2017-0527 高 あり
NVIDIA GPU ドライバでの権限昇格の脆弱性 CVE-2017-0307 高 なし*
Qualcomm ネットワーク ドライバでの権限昇格の脆弱性 CVE-2017-0463、CVE-2017-0460 高 あり
カーネル セキュリティ サブシステムでの権限昇格の脆弱性 CVE-2017-0528 高 あり
Qualcomm SPCom ドライバでの権限昇格の脆弱性 CVE-2016-5856、CVE-2016-5857 高 なし*
カーネル ネットワーク サブシステムでの情報開示の脆弱性 CVE-2014-8709 高 あり
MediaTek ドライバでの情報開示の脆弱性 CVE-2017-0529 高 なし*
Qualcomm ブートローダーでの情報開示の脆弱性 CVE-2017-0455 高 あり
Qualcomm 電源ドライバでの情報開示の脆弱性 CVE-2016-8483 高 あり
NVIDIA GPU ドライバでの情報開示の脆弱性 CVE-2017-0334、CVE-2017-0336 高 あり
カーネル暗号化サブシステムでのサービス拒否の脆弱性 CVE-2016-8650 高 あり
Qualcomm カメラドライバでの権限昇格の脆弱性(端末固有) CVE-2016-8417 中 あり
Qualcomm Wi-Fi ドライバでの情報開示の脆弱性 CVE-2017-0461、CVE-2017-0459、CVE-2017-0531 中 あり
MediaTek ビデオ コーデック ドライバでの情報開示の脆弱性 CVE-2017-0532 中 なし*
Qualcomm ビデオドライバでの情報開示の脆弱性 CVE-2017-0533、CVE-2017-0534、CVE-2016-8416、CVE-2016-8478 中 あり
Qualcomm カメラドライバでの情報開示の脆弱性 CVE-2016-8413、CVE-2016-8477 中 あり
HTC サウンド コーデック ドライバでの情報開示の脆弱性 CVE-2017-0535 中 あり
Synaptics タッチスクリーン ドライバでの情報開示の脆弱性 CVE-2017-0536 中 あり
カーネル USB ガジェット ドライバでの情報開示の脆弱性 CVE-2017-0537 中 あり
Qualcomm カメラドライバでの情報開示の脆弱性 CVE-2017-0452 低 あり
