Google は、多数のセキュリティホールを修正した Android 向け 11 月のセキュリティ アップデートをリリースしました。
スマートフォン、タブレット、その他のガジェットで利用可能になったらすぐにインストールしてください。携帯電話会社やデバイスのメーカーによっては、すぐに提供される場合もあれば、すぐに提供される場合もあれば、遅く提供される場合もあり、あるいは全く提供されない場合もあります。
このリリースで修正された脆弱性の中には、KRACK Wi-Fiキー再インストール脆弱性が含まれています。この脆弱性は先月、研究者らが近隣の無線ネットワークトラフィックを盗聴する可能性があることを指摘し、大きな話題となりました。Googleの修正は、9つのCVEエントリ(CVE-2017-13077、CVE-2017-13078、CVE-2017-13079、CVE-2017-13080、CVE-2017-13081、CVE-2017-13082、CVE-2017-13086、CVE-2017-13087、CVE-2017-13088)に対応しています。
今回のアップデートでカバーされている31件のCVEエントリのうち、9件はGoogleが緊急優先度と評価したリモートコード実行脆弱性に関するものです。これらには、Linuxカーネル開発者のScotty Bauer氏によって発見され、今週初めに詳細が発表された、Media Frameworkの脆弱性5件(CVE-2017-0832、CVE-2017-0833、CVE-2017-0834、CVE-2017-0835、CVE-2017-0836)、システムの脆弱性1件(CVE-2017-0841)、そしてQualcommのWLANソフトウェアの脆弱性3件(CVE-2017-11013、CVE-2017-11014、CVE-2017-11015)が含まれます。
Pixel 2 XLのCRT画面の焼き付きに対するGoogleの回答:明るさを下げる
続きを読む
メディアフレームワークのバグは、悪意のある動画や類似のファイルによって悪用される可能性があります。標的がメディアを閲覧すると、データ内に隠されたマルウェアが高度な権限で実行され、デバイスを乗っ取られる可能性があります。同様に、システムの脆弱性も、罠が仕掛けられたドキュメントを誰かに開かせ、高度な権限でデバイス上でコードを実行させることによって悪用される可能性があります。
優先度「高」の脆弱性には、Androidカーネルにおける権限昇格の脆弱性が2件含まれています。1件はネットワークサブシステム(CVE-2017-9077)に、もう1件はWLAN(CVE-2017-7541)に存在します。AndroidフレームワークAPIには権限昇格の脆弱性が2件(CVE-2017-0830、CVE-2017-0831)、メディアフレームワークには情報漏洩の脆弱性が2件(CVE-2017-0839、CVE-2017-0840)発見されています。
Nvidia コンポーネントを使用しているデバイスは、GPU ドライバーの権限昇格の脆弱性 (CVE-2017-6264) に対処するために更新する必要があります。一方、MediaTek モデム チップは、CCCI の権限昇格のバグ (CVE-2017-0843) に対処するために更新される予定です。
3 つの WLAN リモート コードの脆弱性に加えて、Qualcomm ハードウェアでは、GPU ドライバー (CVE-2017-11092)、Linux ブート コンポーネント (CVE-2017-11017)、および QBT1000 指紋センサーのドライバー (CVE-2017-9690) における権限昇格の脆弱性も修正されました。
これらの権限昇格バグは、不正なアプリによって使用され、デバイスの完全な制御を密かに取得し、所有者をスパイしたり、楽しいいたずらをしたりする可能性があります。
Nexus および Pixel デバイスを搭載した Android ユーザーは、11 月の Android アップデートを Google から直接入手できます。®
