Google は本日、Android のセキュリティ修正の最新版を公開しました。
7 月のアップデートでは、合計 33 件の CVE リストに記載されている脆弱性が修正され、そのうち 9 件は重大なリスクとして分類されています。
2019年7月1日の基本レベルでは、12件のバグが修正されています。そのうち5件は、悪用された場合にリモートコード実行の可能性があります。3件(CVE-2019-2106、CVE-2019-2107、CVE-2019-2100)はAndroidメディアフレームワークに、もう1件(CVE-2019-2105)はAndroidライブラリに、そして5件目(CVE-2019-2105)はシステムに存在します。いずれも、特別に細工されたファイルを開くことでトリガーされます。
残りの CVE のうち、5 つ (フレームワークの CVE-2019-2104、システムの CVE-2019-2116、CVE-2019-2117、CVE-2019-2118、CVE-2019-2119) は情報漏洩のバグであり、2 つ (CVE-2019-2112、CVE-2019-2113) は権限昇格の脆弱性です。
01レベルのパッチは、Androidデバイスメーカーおよびサービスプロバイダにとって最低限必要なレベルです。追加コンポーネント(Qualcommコンポーネントなど)のパッチが必要な方は、2019-07-05のパッチバンドルをご利用ください。
今月の05レベルには、Qualcomm製ソフトウェアにおける21件の脆弱性に対する修正が含まれています。これらの脆弱性は、オープンソースコンポーネントに関するCVEエントリ8件と、Qualcommが脆弱性の性質や具体的なコンポーネントに関する情報を提供していないクローズドソース製品に関するCVEエントリ13件の2つのグループに分けられます。
大変残念ですが、貴社のソフトウェアにはバグがあり、パッチを当てる必要があることをご報告いたします。マイクロソフト、アドビ、SAP、インテルはセキュリティ修正プログラムをリリースしています。
続きを読む
クローズドソースコンポーネントのCVEのうち10件は、「高」と評価されたセキュリティリスクに関するものでした。これは通常、権限昇格や情報漏洩の脆弱性などを意味します。さらに3件は「重大」と分類され、これは通常、ユーザーの操作をほとんど、あるいは全く必要としないリモートコード実行の脆弱性を意味します。
Qualcommによるオープンソースの修正のうち、2件(DSP_ServicesのCVE-2019-2308とカーネルのCVE-2019-2330)は「重大」と分類されました。残りの6件は「高」と分類され、WLANホスト(CVE-2019-2276、CVE-2019-2307)、WLANドライバー(CVE-2019-2305)、HLOS(CVE-2019-2278)、オーディオ(CVE-2019-2326、CVE-2019-2328)に発見されました。
サポートされている Pixel スマートフォンなどの Google ブランドのデバイスを使用しているユーザーは、まもなく 7 月のアップデートを入手できるはずですが、その他のユーザーは、デバイス メーカーまたはサービス プロバイダーがデバイス用のパッチを入手するまで待つ必要があります。
管理者は、可能であれば、7 月 9 日までにパッチをテストしてインストールすることを検討するでしょう。この日は、Microsoft、Adobe、SAP が月例の Patch Tuesday バンドルのセキュリティ修正をリリースするため、少し忙しくなります。®
