Benchmarks Brawte nfaq 0 Comments

世界が狂気に陥る中、変わらないものがあるのは良いことだ:毎月のAndroidパッチ

Table of Contents

世界が狂気に陥る中、変わらないものがあるのは良いことだ:毎月のAndroidパッチ

Google は、Android ソフトウェア セキュリティ アップデートの 8 月版をリリースしました。

今月の修正には、Androidフレームワークに存在するリモートコード実行バグ(CVE-2020-0240)が1件含まれています。Googleは、このバグにより「リモートの攻撃者が細工したファイルを使用して、権限のないプロセスのコンテキスト内で任意のコードを実行できる可能性がある」と警告していますが、現時点では悪用はされていません。

この脆弱性は、セキュリティパッチバンドルの01レベルに存在する唯一のリモートコード実行バグでした。これはAndroidアップデートの最も基本的なバージョンであり、OSのコアコンポーネントのみに対処しています。

今月、他の地域で最も多く確認されたのは権限昇格の脆弱性でした。Media Frameworkの脆弱性3件(CVE-2020-0241、CVE-2020-0242、CVE-2020-0243)、Android System Filesの脆弱性2件(CVE-2020-0108、CVE-2020-0256)、そしてFrameworkの脆弱性2件(CVE-2020-0238、CVE-2020-0257)が修正されました。これらの脆弱性は、不正アプリによってデバイスを乗っ取られる恐れがあります。

Androidフレームワークにおいて「高」リスクと指定された脆弱性には、情報漏洩の脆弱性3件(CVE-2020-0239、CVE-2020-0249、CVE-2020-0258)とサービス拒否攻撃の脆弱性1件(CVE-2020-0247)があります。また、Androidシステムファイルに存在する情報漏洩の脆弱性2件(CVE-2020-0248、CVE-2020-0250)も修正されています。これらはすべて軽微なものです。しかし、他の脆弱性と連鎖すると、より深刻な事態を引き起こす可能性があります。

見通し

Outlookのパッチブルースデーか?Microsoftのメールクライアントが世界中で不具合を起こし、誰もが困惑

続きを読む

Qualcommコンポーネントを搭載したスマートフォンやタブレットをお持ちの方(つまり、私たちのほとんど)は、他の6つの脆弱性(いずれも深刻度「CVE-2019-10562、CVE-2019-10615、CVE-2019-13998、CVE-2020-3619、CVE-2020-3667)についても、05レベルの修正を受けます。これらの脆弱性のうち5つ(CVE-2019-10562、CVE-2019-10615、CVE-2019-13998、CVE-2020-3619、CVE-2020-3667)はクローズドソースコンポーネントに存在するため、Googleは詳細を公表していませんが、深刻度「CVE-2019-10562」は通常、リモートコード実行を意味します。

もう一つの重大なバグであるCVE-2020-11116は、Android機器向けQualcomm製WLANコンポーネントにおけるバッファオーバーフローです。これは今月CVEリストに登録されたWLAN関連の脆弱性4件のうちの1つであり、他の3件(CVE-2020-11115、CVE-2020-11118、CVE-2020-11120)はすべて「高」レベルのセキュリティリスクに分類されています。つまり、CVE-2020-11116は無線ネットワーク経由で悪用され、被害者のデバイス上でコード実行が可能になる可能性があることを示唆しています。

今月、Android製品の中で最もパッチが適用されたのは、Qualcommのクローズドソース製品でした。これらの5つの重要なパッチに加え、Googleが「高」リスクと分類した22件のCVEリストの脆弱性にもパッチが適用されました。

05パッチには、Androidカーネルの脆弱性3件(権限昇格の脆弱性2件(CVE-2020-0255、CVE-2020-12464)と情報漏洩の脆弱性1件(CVE-2019-16746))の修正も含まれています。MediaTekコンポーネント、特にマルチメディア処理ドライバーには、権限昇格の脆弱性3件(CVE-2020-0252、CVE-2020-0253、CVE-2020-0260)と情報漏洩の脆弱性2件(CVE-2020-0251、CVE-2020-0254)がありました。

Google は、実際に攻撃対象となっているバグについては一切言及していないが、これは朗報だ。

Googleブランドのデバイスをご利用の方は、今すぐセキュリティアップデートを入手できますが、それ以外の方は、各ハードウェアベンダーまたは通信事業者によるパッチの検証とリリースを待つ必要があります。状況によっては、今すぐ、来週、来月、来四半期、あるいは永遠に入手できない可能性もあります。

今月は、Black Hat カンファレンスと DEF CON カンファレンスの両方が今週オンラインで開始される予定であり、どちらも注目を集めるバグの公開につながる傾向があるため、パッチ適用の面では特に忙しい月になる可能性があります。®

Benchmarks

Smart Recommendations

Discover More