Comparisons Brawte nfaq 0 Comments

今年もその時期がやってきた。Androidは5つのハイジャックホールの修正で6月のパッチパレードを開始した。

Table of Contents

今年もその時期がやってきた。Androidは5つのハイジャックホールの修正で6月のパッチパレードを開始した。

Google は、Android 向けセキュリティ脆弱性パッチの 6 月バンドルをリリースしました。これには、CVE リストに記載されている 22 件の欠陥の修正が含まれています。

今月のアップデートには、8件の重大な修正に加え、確認済みのリモートコード実行の脆弱性4件を修正するパッチが含まれています。Googleによると、これらのバグはまだ実環境では確認されていないとのことです。

Pixel 電話シリーズなどの Google ブランドのデバイスを所有しているユーザーは、Chocolate Factory から直接アップデートを入手できますが、その他のユーザーはベンダーまたは通信事業者に依頼して修正をテストし、展開する必要があります。

すべてのAndroidデバイスの基本パッチレベルでは、11件の脆弱性が修正されます。そのうち4件は、重大なリモートコード実行の脆弱性に分類されています。これらのバグが悪用されると、攻撃者はユーザーによる操作や通知をほとんど、あるいは全く必要とせずに、コマンドを実行し、デバイスにソフトウェアをインストールできるようになります。

リモートコードの脆弱性のうち3つはAndroidメディアフレームワークに存在し、特別に細工されたファイル(画像や動画など)を開くことで悪用される可能性があります。CVE-2019-2093とCVE-2019-2095の2つの脆弱性はAndroid 9にのみ存在し、CVE-2019-2094はAndroid 7.0、7.1.1、7.1.2、8.0、8.1にも存在します。4つ目のメディアフレームワークの脆弱性CVE-2019-2096は権限昇格を許し、7.0以降のバージョンに存在します。

Android Systemコンポーネントのリモートコード実行の脆弱性も修正されました。この脆弱性(CVE-2019-2097)は、改ざんされたPACファイルを介して特権プロセスとして任意のコード実行を許します。この脆弱性はバージョン7.0、7.1.1、7.1.2、8.0、8.1、9で発見されました。Systemコンポーネントの他の3つの脆弱性(CVE-2019-2102、CVE-2019-2098、CVE-2019-2099)はバージョン7.0以降に存在し、悪用されると権限昇格を許します。

Androidフレームワークは、CVE-2019-2090、CVE-2019-2091、CVE-2019-2092の3つのバグ修正を受けました。これらの脆弱性はすべて、ローカルアプリケーションによる権限昇格を許すものです。つまり、攻撃者は既にユーザーのマシン上でコードを実行している必要があり、権限昇格の心配は最小限で済むことになります。

ベンダーまたは通信事業者が次のレベルが必要であると判断した Android デバイスの所有者は、追加の 11 件の CVE リストの欠陥に対するパッチを入手できます。そのうち 9 件は、さまざまな Qualcomm コンポーネントに見つかります。

タイタン

タイタニック級の惨事:Bluetoothの不具合でGoogleの2FAキーが沈没、無償交換を提供

続きを読む

Android フレームワークでは、Android バージョン 7.0 ~ 9 に存在する情報漏洩の脆弱性である CVE-2018-9526 が修正される一方、Android カーネルの UVC ドライバーには、ローカル アプリがシステムの保護を回避して他のアプリケーションのデータを閲覧できる別の情報漏洩の脆弱性である CVE-2019-2101 に対するパッチが適用されます。

Qualcommによる9件の修正は2つのカテゴリーに分けられています。オープンソースコンポーネントについては、4件の修正が配布されます。これには、バッファオーバーフローに起因するWLANホストの重大な脆弱性CVE-2019-2269と、ビデオコーデックの重大な脆弱性CVE-2019-2287が含まれます。AndroidカーネルのCVE-2019-2260とWLANホストのCVE-2019-2292の2つのバグも修正されました。

Qualcommのクローズドソースコンポーネントには、他に5つの修正が適用されましたが、詳細な説明はありませんでした。これらの修正には、深刻度「Critical」に分類された2つの脆弱性(CVE-2018-13924、CVE-2018-13927)と、深刻度「High」に分類された3つの脆弱性(CVE-2018-13896、CVE-2019-2243、CVE-2019-2261)が含まれています。

管理者の皆様は、Androidのパッチを来週のアップデートに向けたウォーミングアップとして捉えてみてはいかがでしょうか。6月11日はパッチチューズデーで、Microsoft、Adobe、SAPが月例セキュリティアップデートを配信する予定です。®

Comparisons

Smart Recommendations

Discover More