Android のセキュリティに関する公開情報 - 2016 年 11 月

2016 年 11 月 7 日公開 | 2016 年 12 月 21 日更新

Android のセキュリティに関する公開情報には、Android デバイスに影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Google デバイスに対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google デバイスのファームウェア イメージも Google デベロッパー サイトでリリースしています。2016 年 11 月 6 日以降のセキュリティ パッチレベルでは、下記のすべての問題に対処しています。デバイスのセキュリティ パッチレベルを確認する方法については、Pixel と Nexus のアップデート スケジュールに関するページをご覧ください。

パートナーには、この公開情報に記載の問題について 2016 年 10 月 20 日までに通知済みです。該当する場合、下記の問題に対するソースコードのパッチは、Android オープンソース プロジェクト(AOSP)リポジトリにリリースされています。この公開情報には AOSP 以外のパッチへのリンクも掲載しています。

下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象のデバイスでメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。重大度の評価は、標的のデバイス上でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。

この新たに報告された問題によって実際のユーザー デバイスが不正使用された報告はありません。Android セキュリティ プラットフォームの保護SafetyNet のようなサービスの保護について詳しくは、Android と Google サービスでのリスク軽減策をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。

ご利用のデバイスで上記の更新を行うことをすべてのユーザーにおすすめします。

お知らせ

  • Pixel デバイスと Pixel XL デバイスの導入に伴い、Google によってサポートされているすべてのデバイスとは、「Nexus デバイス」ではなく「Google デバイス」を意味する用語になります。
  • この公開情報では、3 つのセキュリティ パッチ レベルを定義しています。これは、すべての Android デバイスで同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、一般的な質問と回答をご覧ください。
    • 2016-11-01: 部分的に対処したセキュリティ パッチレベル。このセキュリティ パッチ レベルは、2016-11-01(およびそれ以前のすべてのセキュリティ パッチ レベル)に関連するすべての問題に対処していることを示します。
    • 2016-11-05: 完全に対処したセキュリティ パッチレベル。このセキュリティ パッチレベルは、2016-11-01 と 2016-11-05(およびそれ以前のすべてのセキュリティ パッチレベル)に関連するすべての問題に対処していることを示します。
    • 補助的なセキュリティ パッチレベル

      補助的なセキュリティ パッチレベルは、パッチレベルが定義された後に明らかになった問題の修正を含むデバイスを特定するために用意されています。こうした最近明らかになった脆弱性に対する対処は、2016-12-01 のセキュリティ パッチレベルまで不要です。

      • 2016-11-06: このセキュリティ パッチレベルは、デバイスが 2016-11-05 と CVE-2016-5195(2016 年 10 月 19 日に開示)に関連するすべての問題に対処していることを示します。
  • サポート対象の Google デバイスには、2016 年 11 月 5 日のセキュリティ パッチレベルのアップデート 1 件が OTA で配信されます。

Android と Google サービスでのリスク軽減策

ここでは、Android セキュリティ プラットフォームの保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。

  • Android プラットフォームの最新版での機能強化により、Android 上の多くの問題の悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。
  • Android セキュリティ チームは、「アプリの確認」や SafetyNet によって脆弱性の悪用を積極的に監視しており、有害な可能性があるアプリについてユーザーに警告しています。「アプリの確認」は、Google モバイル サービスを搭載したデバイスではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。デバイスの root 権限を取得するツールは Google Play では禁止されていますが、「アプリの確認」では、アプリの入手元に関係なく、検出された root 権限取得アプリをインストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。
  • Google ハングアウトやメッセンジャーのアプリでは状況を適宜判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。

謝辞

調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。

  • Google Chrome セキュリティ チームの Abhishek Arya、Oliver Chang、Martin Barbella: CVE-2016-6722
  • Google の Andrei Kapishnikov、Miriam Gershenson: CVE-2016-6703
  • Silence Information Technology PKAV の Ao Wang(@ArayzSegment)、Zinuo Han: CVE-2016-6700、CVE-2016-6702
  • Tencent、Security Platform Department の Askyshang: CVE-2016-6713
  • Android Security の Billy Lau: CVE-2016-6737
  • ピレウス大学の Constantinos PatsakisEfthimios Alepis: CVE-2016-6715
  • Alibaba モバイル セキュリティ チームの dragonltx: CVE-2016-6714
  • Project Zero の Gal Beniamini: CVE-2016-6707、CVE-2016-6717
  • Qihoo 360 Technology Co. Ltd IceSword Lab の Gengjia Chen(@chengjia4574)、pjf: CVE-2016-6725、CVE-2016-6738、CVE-2016-6740、CVE-2016-6741、CVE-2016-6742、CVE-2016-6744、CVE-2016-6745、CVE-2016-3906
  • Qihoo 360 Technology Co. Ltd. Alpha Team の Guang Gong(龚广)(@oldfresher): CVE-2016-6754
  • Qihoo 360 Technology Co. Ltd IceSword Lab の Jianqiang Zhao(@jianqiangzhao)、pjf: CVE-2016-6739、CVE-2016-3904、CVE-2016-3907、CVE-2016-6698
  • Tencent Keen Lab(@keen_lab)の Marco Grassi(@marcograss): CVE-2016-6828
  • Project Zero の Mark Brand: CVE-2016-6706
  • Google の Mark Renouf: CVE-2016-6724
  • Michał Bednarski(github.com/michalbednarski): CVE-2016-6710
  • Android Security の Min Chong: CVE-2016-6743
  • Trend Micro の Peter Pi(@heisecode): CVE-2016-6721
  • Tencent KeenLab の Qidan He(何淇丹)(@flanker_hqd)、Gengming Liu(刘耕铭)(@dmxcsnsbh: CVE-2016-6705
  • Google の Robin Lee: CVE-2016-6708
  • Scott Bauer@ScottyBauer1): CVE-2016-6751
  • Kaspersky Lab の Sergey Bobrov(@Black2Fan): CVE-2016-6716
  • Trend Micro Mobile Threat Research Team の Seven Shen(@lingtongshen): CVE-2016-6748、CVE-2016-6749、CVE-2016-6750、CVE-2016-6753
  • Vrije Universiteit Amsterdam の Victor van der Veen、Herbert Bos、Kaveh Razavi、Cristiano Giuffrida、およびカリフォルニア大学サンタバーバラ校の Yanick Fratantonio、Martina Lindorfer、 Giovanni Vigna: CVE-2016-6728
  • Alibaba Inc. の Weichao Sun(@sunblate): CVE-2016-6712、CVE-2016-6699、CVE-2016-6711
  • C0RE Team の Wenke Dou(vancouverdou@gmail.com)、Chiachih Wu(@chiachih_wu)、Xuxian Jiang: CVE-2016-6720
  • Trend Micro Inc. の Wish Wu(吴潍浠)(@wish_wu): CVE-2016-6704
  • Nightwatch Cybersecurity の Yakov Shafranovich: CVE-2016-6723
  • C0RE TeamYuan-Tsung LoYao JunTong Lin、Chiachih Wu(@chiachih_wu)、Xuxian Jiang: CVE-2016-6730、CVE-2016-6732、CVE-2016-6734、CVE-2016-6736
  • C0RE TeamYuan-Tsung LoYao JunXiaodong Wang、Chiachih Wu(@chiachih_wu)、Xuxian Jiang: CVE-2016-6731、CVE-2016-6733、CVE-2016-6735、CVE-2016-6746

Android Security の Zach Riggle 氏にも、本公開情報で取り上げたいくつかの問題についてご協力いただきました。ここに謝意を表します。

セキュリティ パッチ レベル 2016-11-01 の脆弱性の詳細

以下に、パッチレベル 2016-11-01 に該当するセキュリティ脆弱性の各項目の詳細を示します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google デバイス、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。

メディアサーバーでのリモートコード実行の脆弱性

メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6699 A-31373622 重大 すべて 7.0 2016 年 7 月 27 日

libzipfile での権限昇格の脆弱性

libzipfile に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6700 A-30916186 重大 なし* 4.4.4、5.0.2、5.1.1 2016 年 8 月 17 日

* Android 7.0 以降が搭載されたサポート対象の Google デバイスにおいて、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Skia でのリモートコード実行の脆弱性

libskia にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。ギャラリー プロセス内でリモートでコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6701 A-30190637 すべて 7.0 Google 社内

libjpeg でのリモートコード実行の脆弱性

libjpeg にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、権限のないプロセス内で任意のコードを実行するおそれがあります。libjpeg を使用するアプリでリモートでコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6702 A-30259087 なし* 4.4.4、5.0.2、5.1.1 2016 年 7 月 19 日

* Android 7.0 以降が搭載されたサポート対象の Google デバイスにおいて、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Android ランタイムでのリモートコード実行の脆弱性

Android ランタイム ライブラリにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したペイロードを使用して、権限のないプロセス内で任意のコードを実行するおそれがあります。Android ランタイムを使用するアプリでリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6703 A-30765246 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 Google 社内

* Android 7.0 以降が搭載されたサポート対象の Google デバイスにおいて、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

メディアサーバーでの権限昇格の脆弱性

メディアサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティ アプリが通常はアクセスできない権限に昇格してローカルにアクセスできるようになるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6704 A-30229821 [2] [3] すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 7 月 19 日
CVE-2016-6705 A-30907212 [2] すべて 5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 8 月 16 日
CVE-2016-6706 A-31385713 すべて 7.0 2016 年 9 月 8 日

システム サーバーでの権限昇格の脆弱性

システム サーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティ アプリが通常はアクセスできない権限に昇格してローカルにアクセスできるようになるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6707 A-31350622 すべて 6.0、6.0.1、7.0 2016 年 9 月 7 日

システム UI での権限昇格の脆弱性

システム UI に権限昇格の脆弱性があるため、悪意のあるローカル ユーザーがマルチウィンドウ モードで仕事用プロファイルのセキュリティ プロンプトを回避するおそれがあります。デベロッパーやセキュリティの設定の変更に対するユーザー操作の要件がローカルで回避されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6708 A-30693465 すべて 7.0 Google 社内

Conscrypt での情報開示の脆弱性

Conscrypt に情報開示の脆弱性があるため、アプリで以前の暗号化 API が使用されている場合、攻撃者が機密情報にアクセスできるようになるおそれがあります。許可を得ずにデータにアクセスできるようになるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6709 A-31081987 すべて 6.0、6.0.1、7.0 2015 年 10 月 9 日

ダウンロード マネージャーでの情報開示の脆弱性

ダウンロード マネージャーに情報開示の脆弱性があるため、悪意のあるローカルアプリが、アプリデータを他のアプリから分離するオペレーティング システムの保護を回避するおそれがあります。アプリがアクセス権限のないデータにアクセスできるようになるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6710 A-30537115 [2] すべて 5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 7 月 30 日

Bluetooth でのサービス拒否の脆弱性

Bluetooth にサービスの拒否の脆弱性があるため、近くにいる攻撃者が攻撃対象のデバイスへの Bluetooth アクセスをブロックするおそれがあります。リモートでのサービス拒否攻撃のおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2014-9908 A-28672558 なし* 4.4.4、5.0.2、5.1.1 2014 年 5 月 5 日

* Android 7.0 以降が搭載されたサポート対象の Google デバイスにおいて、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

OpenJDK でのサービス拒否の脆弱性

OpenJDK にリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、デバイスのハングアップや再起動を引き起こすおそれがあります。リモートでのサービス拒否攻撃のおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2015-0410 A-30703445 すべて 7.0 2015 年 1 月 16 日

メディアサーバーでのサービス拒否の脆弱性

メディアサーバーにリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、デバイスのハングアップや再起動を引き起こすおそれがあります。リモートでのサービス拒否攻撃のおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6711 A-30593765 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 8 月 1 日
CVE-2016-6712 A-30593752 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 8 月 1 日
CVE-2016-6713 A-30822755 すべて 6.0、6.0.1、7.0 2016 年 8 月 11 日
CVE-2016-6714 A-31092462 すべて 6.0、6.0.1、7.0 2016 年 8 月 22 日

* Android 7.0 以降が搭載されたサポート対象の Google デバイスにおいて、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

フレームワーク API での権限昇格の脆弱性

フレームワーク API に権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、ユーザーの許可を得ずに音声が録音されるおそれがあります。ユーザー操作の要件がローカルで回避される(通常はユーザーの操作や許可が必要となる機能にアクセスできるようになる)ため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6715 A-29833954 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 6 月 28 日

AOSP ランチャーでの権限昇格の脆弱性

AOSP ランチャーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、昇格された権限を持つショートカットがユーザーの同意なしに作成されるおそれがあります。ユーザー操作の要件がローカルで回避される(通常はユーザーの操作や許可が必要となる機能にアクセスできるようになる)ため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6716 A-30778130 すべて 7.0 2016 年 8 月 5 日

メディアサーバーでの権限昇格の脆弱性

メディアサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。最初に別の脆弱性を悪用する必要があるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6717 A-31350239 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 9 月 7 日

アカウント マネージャー サービスでの権限昇格の脆弱性

アカウント マネージャー サービスに権限昇格の脆弱性があるため、悪意のあるローカルアプリが、ユーザーの操作なしで機密情報を取得するおそれがあります。ユーザー操作の要件がローカルで回避される(通常はユーザーの操作や許可が必要となる機能にアクセスできるようになる)ため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6718 A-30455516 すべて 7.0 Google 社内

Bluetooth での権限昇格の脆弱性

Bluetooth コンポーネントに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって、Bluetooth デバイスがユーザーの同意なしにペア設定されるおそれがあります。ユーザー操作の要件がローカルで回避される(通常はユーザーの操作や許可が必要となる機能にアクセスできるようになる)ため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6719 A-29043989 [2] すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 Google 社内

メディアサーバーでの情報開示の脆弱性

メディアサーバーに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。許可を得ずに機密データにアクセスするために利用されるおそれがあるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6720 A-29422020 [2] [3] [4] すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 6 月 15 日
CVE-2016-6721 A-30875060 すべて 6.0、6.0.1、7.0 2016 年 8 月 13 日
CVE-2016-6722 A-31091777 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 8 月 23 日

プロキシの自動設定でのサービス拒否の脆弱性

プロキシ自動設定にサービス拒否の脆弱性があるため、リモートの攻撃者が特別に細工したファイルを使用して、デバイスのハングアップや再起動を引き起こすおそれがあります。一般的でないデバイス設定が必要なため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6723 A-30100884 [2] すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 2016 年 7 月 11 日

入力マネージャー サービスでのサービス拒否の脆弱性

入力マネージャー サービスにサービス拒否の脆弱性があるため、悪意のあるローカルアプリによって、デバイスが繰り返し再起動されるおそれがあります。一時的なサービス拒否攻撃であり、出荷時設定にリセットすることで修正できるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6724 A-30568284 すべて 4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0 Google 社内

セキュリティ パッチ レベル 2016-11-05 の脆弱性の詳細

以下に、パッチレベル 2016-11-05 に該当するセキュリティ脆弱性の各項目の詳細を示します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google デバイス、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

Qualcomm crypto ドライバでのリモートコード実行の脆弱性

Qualcomm crypto ドライバにリモートコード実行の脆弱性があるため、リモートの攻撃者がカーネル内で任意のコードを実行するおそれがあります。カーネル内でリモートでコードが実行される可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6725 A-30515053
QC-CR#1050970
重大 Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 25 日

カーネル ファイル システムでの権限昇格の脆弱性

カーネル ファイル システムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2015-8961 A-30952474
アップストリーム カーネル
重大 Pixel、Pixel XL 2015 年 10 月 18 日
CVE-2016-7911 A-30946378
アップストリーム カーネル
重大 Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 7 月 1 日
CVE-2016-7910 A-30942273
アップストリーム カーネル
重大 Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 7 月 29 日

カーネル SCSI ドライバでの権限昇格の脆弱性

カーネル SCSI ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2015-8962 A-30951599
アップストリーム カーネル
重大 Pixel、Pixel XL 2015 年 10 月 30 日

カーネル メディア ドライバでの権限昇格の脆弱性

カーネル メディア ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-7913 A-30946097
アップストリーム カーネル
重大 Nexus 6P、Android One、Nexus Player、Pixel、Pixel XL 2016 年 1 月 28 日

カーネル USB ドライバでの権限昇格の脆弱性

カーネル USB ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-7912 A-30950866
アップストリーム カーネル
重大 Pixel C、Pixel、Pixel XL 2016 年 4 月 14 日

カーネル ION サブシステムでの権限昇格の脆弱性

カーネル ION サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6728 A-30400942* 重大 Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Nexus Player、Pixel C、Android One 2016 年 7 月 25 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

Qualcomm ブートローダーでの権限昇格の脆弱性

Qualcomm ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6729 A-30977990*
QC-CR#977684
重大 Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 25 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

NVIDIA GPU ドライバでの権限昇格の脆弱性

NVIDIA GPU ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6730 A-30904789*
N-CVE-2016-6730
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6731 A-30906023*
N-CVE-2016-6731
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6732 A-30906599*
N-CVE-2016-6732
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6733 A-30906694*
N-CVE-2016-6733
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6734 A-30907120*
N-CVE-2016-6734
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6735 A-30907701*
N-CVE-2016-6735
重大 Pixel C 2016 年 8 月 16 日
CVE-2016-6736 A-30953284*
N-CVE-2016-6736
重大 Pixel C 2016 年 8 月 18 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

カーネル ネットワーク サブシステムでの権限昇格の脆弱性

カーネル ネットワーク サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6828 A-31183296
アップストリーム カーネル
重大 Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 8 月 18 日

カーネル サウンド サブシステムでの権限昇格の脆弱性

カーネル サウンド サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-2184 A-30952477
アップストリーム カーネル
重大 Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 3 月 31 日

カーネル ION サブシステムでの権限昇格の脆弱性

カーネル ION サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6737 A-30928456* 重大 Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel C、Nexus Player、Pixel、Pixel XL Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

Qualcomm コンポーネントでの脆弱性

以下の表に、Qualcomm コンポーネントに影響するセキュリティの脆弱性を示します。詳細については、2016 年 6 月の Qualcomm AMSS のセキュリティに関する公開情報とセキュリティ アラート 80-NV606-17 をご覧ください。

CVE 参照 重大度* 更新対象の Google 製デバイス 報告日
CVE-2016-6727 A-31092400** 重大 Android One Qualcomm 社内
CVE-2016-6726 A-30775830** Nexus 6、Android One Qualcomm 社内

* この一連の問題の重大度はベンダーが決定したものです。

** この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

Expat でのリモートコード実行の脆弱性

以下の表に、Expat ライブラリに影響するセキュリティの脆弱性を示します。この問題のうち最も重大なのは、Expat XML パーサーでの権限昇格の脆弱性です。この脆弱性により、攻撃者が特別に細工したファイルを使用して、特権のないプロセスで任意のコードを実行するおそれがあります。Expat を使用するアプリで任意のコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-0718 A-28698301 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 5 月 10 日
CVE-2012-6702 A-29149404 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 3 月 6 日
CVE-2016-5300 A-29149404 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2016 年 6 月 4 日
CVE-2015-1283 A-27818751 なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 2015 年 7 月 24 日

* Android 7.0 以降が搭載されたサポート対象の Google デバイスにおいて、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Webview でのリモートコード実行の脆弱性

Webview にリモートコード実行の脆弱性があるため、ユーザーがウェブサイトに移動したとき、リモートの攻撃者が任意のコードを実行するおそれがあります。非特権プロセスでリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2016-6754 A-31217937 なし* 5.0.2、5.1.1、6.0、6.0.1 2016 年 8 月 23 日

* Android 7.0 以降が搭載されたサポート対象の Google デバイスにおいて、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

Freetype でのリモートコード実行の脆弱性

Freetype にリモートコード実行の脆弱性があるため、悪意のあるローカルアプリが特別に細工したフォントを読み込み、非特権プロセスでメモリ破損を引き起こすおそれがあります。Freetype を使用するアプリでリモートでコードが実行されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 更新対象の AOSP バージョン 報告日
CVE-2014-9675 A-24296662 [2] なし* 4.4.4、5.0.2、5.1.1、6.0、6.0.1 Google 社内

* Android 7.0 以降が搭載されたサポート対象の Google デバイスにおいて、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。

カーネル パフォーマンス サブシステムでの権限昇格の脆弱性

カーネル パフォーマンス サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2015-8963 A-30952077
アップストリーム カーネル
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2015 年 12 月 15 日

カーネル システムコール監査サブシステムでの権限昇格の脆弱性

カーネル システムコール監査サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネルのシステムコール監査が妨害されるおそれがあります。カーネルレベルの多重防御または悪用対策技術を迂回する一般的な方法であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6136 A-30956807
アップストリーム カーネル
Android One、Pixel C、Nexus Player 2016 年 7 月 1 日

Qualcomm crypto エンジン ドライバでの権限昇格の脆弱性

Qualcomm crypto エンジン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6738 A-30034511
QC-CR#1050538
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 7 日

Qualcomm カメラドライバでの権限昇格の脆弱性

Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6739 A-30074605*
QC-CR#1049826
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 7 月 11 日
CVE-2016-6740 A-30143904
QC-CR#1056307
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 12 日
CVE-2016-6741 A-30559423
QC-CR#1060554
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 28 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

Qualcomm バス ドライバでの権限昇格の脆弱性

Qualcomm バス ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-3904 A-30311977
QC-CR#1050455
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 7 月 22 日

Synaptics タッチスクリーン ドライバでの権限昇格の脆弱性

Synaptics タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6742 A-30799828* Nexus 5X、Android One 2016 年 8 月 9 日
CVE-2016-6744 A-30970485* Nexus 5X 2016 年 8 月 19 日
CVE-2016-6745 A-31252388* Nexus 5X、Nexus 6P、Nexus 9、Android One、Pixel、Pixel XL 2016 年 9 月 1 日
CVE-2016-6743 A-30937462* Nexus 9、Android One Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

カーネル コンポーネントでの情報開示の脆弱性

カーネル コンポーネント(ヒューマン インターフェース デバイス ドライバ、ファイル システム、テレタイプ ドライバなど)に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするために利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2015-8964 A-30951112
アップストリーム カーネル
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2015 年 11 月 27 日
CVE-2016-7915 A-30951261
アップストリーム カーネル
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 1 月 19 日
CVE-2016-7914 A-30513364
アップストリーム カーネル
Pixel C、Pixel、Pixel XL 2016 年 4 月 6 日
CVE-2016-7916 A-30951939
アップストリーム カーネル
Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 5 月 5 日

NVIDIA GPU ドライバでの情報開示の脆弱性

NVIDIA GPU ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするために利用されるおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6746 A-30955105*
N-CVE-2016-6746
Pixel C 2016 年 8 月 18 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

メディアサーバーでのサービス拒否の脆弱性

メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、デバイスのハングアップや再起動を引き起こすおそれがあります。リモートでのサービス拒否攻撃のおそれがあるため、この問題の重大度は「高」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6747 A-31244612*
N-CVE-2016-6747
Nexus 9 Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

カーネル コンポーネントでの情報開示の脆弱性

カーネル コンポーネント(プロセスグループ サブシステム、ネットワーク サブシステムなど)に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-7917 A-30947055
アップストリーム カーネル
Pixel C、Pixel、Pixel XL 2016 年 2 月 2 日
CVE-2016-6753 A-30149174* Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player、Pixel、Pixel XL 2016 年 7 月 13 日

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

Qualcomm コンポーネントでの情報開示の脆弱性

Qualcomm コンポーネント(GPU ドライバ、電源ドライバ、SMSM ポイントツーポイント ドライバ、サウンド ドライバなど)に情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。

CVE 参照 重大度 更新対象の Google 製デバイス 報告日
CVE-2016-6748 A-30076504
QC-CR#987018
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 12 日
CVE-2016-6749 A-30228438
QC-CR#1052818
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 7 月 12 日
CVE-2016-6750 A-30312054
QC-CR#1052825
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 7 月 21 日
CVE-2016-3906 A-30445973
QC-CR#1054344
Nexus 5X、Nexus 6P 2016 年 7 月 27 日
CVE-2016-3907 A-30593266
QC-CR#1054352
Nexus 5X、Nexus 6P、Pixel、Pixel XL 2016 年 8 月 2 日
CVE-2016-6698 A-30741851
QC-CR#1058826
Nexus 5X、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 8 月 2 日
CVE-2016-6751 A-30902162*
QC-CR#1062271
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL 2016 年 8 月 15 日
CVE-2016-6752 A-31498159
QC-CR#987051
Nexus 5X、Nexus 6、Nexus 6P、Android One、Pixel、Pixel XL Google 社内

* この問題に対するパッチは公開されていません。アップデートは Google デベロッパー サイトから入手できる最新の Google デバイス用バイナリ ドライバに含まれています。

セキュリティ パッチ レベル 2016-11-06 の脆弱性の詳細

以降のセクションでは、このセキュリティ パッチレベル 2016-11-06 の脆弱性の概要に記載されているセキュリティの脆弱性について、詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google デバイス、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に続く番号で、追加の参照先へのリンクを示します。

カーネル メモリ サブシステムでの権限昇格の脆弱性

カーネル メモリ サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的なデバイスの侵害につながるおそれがあり、デバイスを修復するにはオペレーティング システムの書き換えが必要になる可能性があるため、この問題は「重大」と判断されています。

注: セキュリティ パッチレベル 2016-11-06 は、この問題、および 2016-11-01 と 2016-11-05 に関連するすべての問題に対処していることを示します。

CVE 参照 重大度 更新対象のカーネル バージョン 報告日
CVE-2016-5195 A-32141528
アップストリーム カーネル [2]
重大 3.10、3.18 2016 年 10 月 12 日

一般的な質問と回答

上記の公開情報に対する一般的な質問とその回答は以下のとおりです。

1. 上記の問題に対処するようにデバイスが更新されているかどうかを確かめるには、どうすればよいですか?

デバイスのセキュリティ パッチレベルを確認する方法については、Pixel と Nexus のアップデート スケジュールに関するページに記載されている手順をご覧ください。

  • セキュリティ パッチ レベル 2016-11-01 以降では、セキュリティ パッチ レベル 2016-11-01 に関連するすべての問題に対処しています。
  • セキュリティ パッチ レベル 2016-11-05 以降では、セキュリティ パッチ レベル 2016-11-05、およびそれ以前のすべてのパッチ レベルに関連するすべての問題に対処しています。
  • セキュリティ パッチレベル 2016-11-06 以降では、セキュリティ パッチレベル 2016-11-06、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。

デバイス メーカーは、こうしたアップデートを組み込む場合、パッチレベル文字列を以下のとおり設定する必要があります。

  • [ro.build.version.security_patch]:[2016-11-01]
  • [ro.build.version.security_patch]:[2016-11-05]
  • [ro.build.version.security_patch]:[2016-11-06]

2. この公開情報に 3 つのセキュリティ パッチレベルがあるのはなぜですか?

この公開情報では、3 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載デバイスで同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーは、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。

  • 2016 年 11 月 1 日のセキュリティ パッチレベルを使用するデバイスには、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。
  • 2016 年 11 月 5 日以降のセキュリティ パッチレベルを使用するデバイスには、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。
  • 2016 年 11 月 6 日以降のセキュリティ パッチレベルを使用するデバイスには、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。

パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。

3. 各問題の影響を受ける Google デバイスを判断するにはどうすればよいですか?

2016-11-012016-11-052016-11-06 のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google デバイス」列に、その問題の影響を受ける、更新対象の Google デバイスの種類を記載しています。この列の記載は次のいずれかです。

  • すべての Google デバイス: 問題がすべての Nexus デバイスと Pixel デバイスに影響を与える場合、表の「更新対象の Google デバイス」列には「すべて」と記載されます。「すべて」にはサポート対象のデバイス(Nexus 5、Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。
  • 一部の Google デバイス: 問題が一部の Google デバイスのみに影響する場合、「更新対象の Google デバイス」列には影響を受ける Google デバイスが記載されます。
  • 影響を受ける Google デバイスがない: Android 7.0 を搭載した Google デバイスが問題の影響を受けない場合、表の「更新対象の Google デバイス」列には「なし」と記載されます。

4. 「参照」列の項目はどのような情報に関連付けられていますか?

脆弱性の詳細の表で「参照」列に記載した項目には、その参照番号が属す組織を示す接頭辞を含めている場合があります。各接頭辞の意味は以下のとおりです。

接頭辞 参照
A- Android バグ ID
QC- Qualcomm の参照番号
M- MediaTek の参照番号
N- NVIDIA の参照番号
B- Broadcom の参照番号

改訂

  • 2016 年 11 月 7 日: 情報公開
  • 11 月 8 日: 公開情報を改訂し AOSP リンクを追加。また、CVE-2016-6709 の説明を更新。
  • 11 月 17 日: 公開情報を改訂し CVE-2016-6828 の帰属を追加。
  • 12 月 21 日: 調査協力者のクレジットを更新。