Googleは本日、Androidの月例セキュリティアップデートの11月版をリリースし、通信事業者とデバイスメーカーに最新のパッチセットのインストールを提供しました。パッチが一刻も早く皆様に提供されることを祈っています。
11 月のセキュリティ情報には、Android のさまざまなコア コンポーネントにおける 3 件のリモート コード実行の脆弱性と、多数の情報漏洩および権限昇格の脆弱性に対する修正が含まれています。
3件のリモートコード脆弱性(RCE)は、いずれもAndroidメディアフレームワーク内で発見されました。うち2件は「重大」リスク(CVE-2018-9527、CVE-2018-9531)で、1件は「高」リスク(CVE-2018-9521)と評価されました。これらの脆弱性が、例えば仕掛けられたビデオや受信したマルチメディアメッセージによって悪用された場合、素材内の悪意のあるコードが十分な権限で実行され、スマートフォンの所有者をスパイしたり、その他の悪意のある行為を行なったりする可能性があります。メディアフレームワークにおける2件の権限昇格バグ(CVE-2018-9536、CVE-2018-9537)も、重大なセキュリティリスクに分類されました。
Android システム コンポーネントには 6 件の CVE バグ エントリがあり、それぞれ情報漏洩の脆弱性があり、これを悪用されると、通常はローカル アプリでのみ表示されるユーザー データをリモートの攻撃者が閲覧できるようになる。
おそらくこのパッチで最も印象的だったのは、Libxaacメディアライブラリで報告された18件のCVEリストに登録されたセキュリティ脆弱性を概説したセクションでしょう。実際、Googleは今後AndroidからLibxaacを事実上排除し、そのステータスを「試験運用版」に変更し、将来のAndroid製品版ビルドには組み込まないと述べています。
AppleはMac、AppleTV、iOSに待望のアップデートをリリースした。
続きを読む
このバンドルでは、Android のコア コンポーネントのバグを修正する基本的な Google パッチ レベル (2018-11-01) リリースに加えて、Android スマートフォンで使用されるさまざまな Qualcomm コンポーネントの CVE リストに記載されている 17 件の脆弱性も修正しています。
クアルコムは自社のセキュリティ文書でこれらの脆弱性を説明することを好んでいるため、これらの脆弱性の詳細は記載されていません。ただし、Googleは、3つのバグ(CVE-2017-18317、CVE-2018-5912、CVE-2018-11264)が「重大」なセキュリティリスクに分類されていることを指摘しています。
GoogleはAndroidのセキュリティパッチを毎月公開していますが、エンドユーザーに実際に修正を届けるのは通信事業者やデバイスメーカーの責任です。これらのパートナーが、パッチを適時に承認・リリースできるかどうかは、控えめに言ってもばらつきがあります。あるRegスタッフは、Android 7.0を搭載しているにもかかわらず、2017年8月以来、適切なセキュリティアップデートを受けていない1年前のデバイスを所有しています。
Googleは、メーカーや通信事業者を介さずに、Google Playストアアプリを通じて携帯端末に直接セキュリティ修正プログラムを適用することができます。ただし、低レベルのパッチは、当該デバイスメーカーや通信事業者の承認が必要です。Googleブランドの対応デバイスは、少なくとも必要なアップデートはすべて直ちに適用されるはずです。
また、Android には、ASLR や Google Play ストアのマルウェア スキャナーなど、パッチの適用を待つ間に、これらの脆弱性を悪用したり悪意のあるアプリがこれを攻撃するのを阻止しようとする通常の防御メカニズムもあります。
ボーナス:AppleはApple Watchの文鎮化を止めることを決定
携帯電話と腕時計を販売するAppleは、数年ごとにパソコンに手を出すことで知られているが、watchOSの新たなアップデートをリリースした。
5.1.1アップデートでは、特に1つの問題、つまり先週の5.1リリースでインストール時に一部のウォッチが動作しなくなるという厄介な問題が修正されます。Appleによると、このアップデートではウォーキートーキーアプリの問題とアクティビティアワードソフトウェアのバグも修正されるとのことです。®
