Google Git
Sign in
android / platform / docs / source.android.com / 56cd845b72cebfc74b8c527936ed2e4aff4b51dd / . / ja / security / bulletin / 2017-05-01.html
blob: 06368e99ab00d83fe3b3f1904945a22b03a46f87 [file] [log] [blame]
<html devsite><head>
<title>Android のセキュリティに関する公開情報 - 2017 年 5 月</title>
<meta name="project_path" value="/_project.yaml"/>
<meta name="book_path" value="/_book.yaml"/>
</head>
<body>
<!--
Copyright 2017 The Android Open Source Project
Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at
http://www.apache.org/licenses/LICENSE-2.0
Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
-->
<p><em>2017 年 5 月 1 日公開 | 2017 年 10 月 3 日更新</em></p>
<p>Android のセキュリティに関する公開情報には、Android 搭載端末に影響を与えるセキュリティの脆弱性の詳細を掲載しています。情報の公開に伴い、Nexus 端末に対するセキュリティ アップデートを無線(OTA)アップデートで配信しました。Google 端末のファームウェア イメージも <a href="https://developers.google.com/android/nexus/images">Google デベロッパー サイト</a>でリリースしています。2017 年 5 月 5 日以降のセキュリティ パッチレベルでは、下記のすべての問題に対処しています。端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel と Nexus のアップデート スケジュール</a>をご覧ください。</p>
<p>パートナーには、この公開情報に記載の問題について 2017 年 4 月 3 日までに通知済みです。Android オープンソース プロジェクト(AOSP)のレポジトリに、下記の問題に対するソースコードのパッチをリリースしています。また、この公開情報では、これらのパッチへのリンクに加え、AOSP 以外のパッチへのリンクも掲載しています。</p>
<p>下記の問題のうち最も重大度の高いものは、多様な方法(メール、ウェブの閲覧、MMS など)により、攻撃対象の端末でメディア ファイルを処理する際にリモートでのコード実行が可能になるおそれのある重大なセキュリティの脆弱性です。<a href="/security/overview/updates-resources.html#severity">重大度の評価</a>は、攻撃対象の端末でその脆弱性が悪用された場合の影響に基づくもので、プラットフォームやサービスでのリスク軽減策が開発目的または不正な回避により無効となっていることを前提としています。</p>
<p>この新たに報告された問題によって実際のユーザー端末が不正使用された報告はありません。<a href="/security/enhancements/index.html">Android セキュリティ プラットフォームの保護</a><a href="https://developer.android.com/training/safetynet/index.html">SafetyNet</a> のようなサービスの保護について詳しくは、<a href="#mitigations">Android と Google サービスでのリスク軽減策</a>をご覧ください。こうした保護により、Android プラットフォームのセキュリティが改善されます。</p>
<p>ご利用の端末にこのアップデートを適用することをすべてのユーザーにおすすめします。</p>
<h2 id="announcements">お知らせ</h2>
<ul>
<li>この公開情報では、2 つのセキュリティ パッチレベル文字列を定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。詳しくは、<a href="#common-questions-and-answers">一般的な質問と回答</a>をご覧ください。
<ul>
<li><strong>2017-05-01</strong>: 部分的に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-05-01(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。</li>
<li><strong>2017-05-05</strong>: 完全に対処したセキュリティ パッチレベル文字列。このセキュリティ パッチレベル文字列は、2017-05-01 と 2017-05-05(およびそれ以前のすべてのセキュリティ パッチレベル文字列)に関連するすべての問題に対処していることを示します。</li>
</ul>
</li>
<li>サポート対象の Google 端末には、2017 年 5 月 5 日のセキュリティ パッチレベルのアップデート 1 件が OTA で配信されます。</li>
</ul>
<h2 id="mitigations">Android と Google サービスでのリスク軽減策</h2>
<p>ここでは、<a href="/security/enhancements/index.html">Android セキュリティ プラットフォーム</a>の保護と SafetyNet のようなサービスの保護によるリスクの軽減について概説します。こうした機能は、Android でセキュリティの脆弱性が悪用される可能性を減らします。</p>
<ul>
<li>Android プラットフォームの最新版での機能強化により、Android 上の多くの問題について悪用が困難になります。Google では、すべてのユーザーに対し、できる限り最新バージョンの Android に更新することをおすすめしています。</li>
<li>Android セキュリティ チームは、<a href="/security/reports/Google_Android_Security_2016_Report_Final.pdf">「アプリの確認」や SafetyNet</a> によって脆弱性の悪用を積極的に監視しており、<a href="/security/reports/Google_Android_Security_PHA_classifications.pdf">有害なおそれのあるアプリ</a>についてユーザーに警告しています。「アプリの確認」は、<a href="http://www.android.com/gms">Google モバイル サービス</a>を搭載した端末ではデフォルトで有効になっており、Google Play 以外からアプリをインストールするユーザーにとっては特に重要です。端末のルート権限を取得するツールは Google Play では禁止されていますが、「アプリの確認」では、アプリの入手元に関係なく、検出されたルート権限取得アプリをインストールしようとするユーザーに警告します。また、「アプリの確認」では、悪意のある既知のアプリで権限昇格の脆弱性が悪用されないように、そのようなアプリのインストールを見つけて阻止します。こうしたアプリがすでにインストールされている場合は、ユーザーに通知して、検出されたアプリの削除を試みます。</li>
<li>Google ハングアウトやメッセンジャーなどのアプリでは状況を適宜判断し、メディアサーバーなどのプロセスに自動的にメディアを渡すことはありません。</li>
</ul>
<h2 id="acknowledgements">謝辞</h2>
<p>調査にご協力くださった下記の皆様方に感謝いたします(敬称略)。</p>
<ul>
<li>ADlab of Venustech: CVE-2017-0630</li>
<li>Tencent KeenLab(<a href="https://twitter.com/keen_lab">@keen_lab</a>)の Di Shen(<a href="https://twitter.com/returnsme">@returnsme</a>): CVE-2016-10287</li>
<li>Trend Micro の Ecular Xu(徐健): CVE-2017-0599、CVE-2017-0635</li>
<li><a href="http://www.ms509.com">MS509Team</a> の En He(<a href="https://twitter.com/heeeeen4x">@heeeeen4x</a>)、Bo Liu: CVE-2017-0601</li>
<li><a href="https://twrp.me/">Team Win Recovery Project</a> の Ethan Yonker: CVE-2017-0493</li>
<li>Qihoo 360 Technology Co. Ltd. IceSword Lab の Gengjia Chen(<a href="https://twitter.com/chengjia4574">@chengjia4574</a>)、<a href="http://weibo.com/jfpan">pjf</a>: CVE-2016-10285、CVE-2016-10288、CVE-2016-10290、CVE-2017-0624、CVE-2017-0616、CVE-2017-0617、CVE-2016-10294、CVE-2016-10295、CVE-2016-10296</li>
<li>Tencent PC Manager の godzheng(郑文选 <a href="https://twitter.com/virtualseekers">@VirtualSeekers</a>): CVE-2017-0602</li>
<li><a href="http://tuncay2.web.engr.illinois.edu">イリノイ大学アーバナ シャンペーン校</a><a href="https://www.linkedin.com/in/g%C3%BCliz-seray-tuncay-952a1b9/">Güliz Seray Tuncay</a>: CVE-2017-0593</li>
<li>Qihoo 360 Technology Co. Ltd. Alpha Team の Hao Chen、Guang Gong: CVE-2016-10283</li>
<li>Xiaomi Inc. の Juhu Nie、Yang Cheng、Nan Li、Qiwu Huang: CVE-2016-10276</li>
<li><a href="https://github.com/michalbednarski">Michał Bednarski</a>: CVE-2017-0598</li>
<li>Tesla、Product Security Team の Nathan Crandall(<a href="https://twitter.com/natecray">@natecray</a>): CVE-2017-0331、CVE-2017-0606</li>
<li><a href="mailto:[email protected]">Niky1235</a><a href="https://twitter.com/jiych_guru">@jiych_guru</a>): CVE-2017-0603</li>
<li>Alibaba Mobile Security Group の Peng Xiao、Chengming Yang、Ning You、Chao Yang、Yang Song: CVE-2016-10281、CVE-2016-10280</li>
<li><a href="https://alephsecurity.com/">Aleph Research</a> の Roee Hay(<a href="https://twitter.com/roeehay">@roeehay</a>): CVE-2016-10277</li>
<li><a href="mailto:[email protected]">Scott Bauer</a><a href="https://twitter.com/ScottyBauer1">@ScottyBauer1</a>): CVE-2016-10274</li>
<li><a href="http://c0reteam.org">C0RE Team</a><a href="mailto:[email protected]">Tong Lin</a><a href="mailto:[email protected]">Yuan-Tsung Lo</a>、Xuxian Jiang: CVE-2016-10291</li>
<li>Vasily Vasiliev: CVE-2017-0589</li>
<li><a href="http://www.trendmicro.com">Trend Micro</a> <a href="http://blog.trendmicro.com/trendlabs-security-intelligence/category/mobile">Mobile Threat Response Team</a> の V.E.O(<a href="https://twitter.com/vysea">@VYSEa</a>): CVE-2017-0590、CVE-2017-0587、CVE-2017-0600</li>
<li>Tencent Security Platform Department の Xiling Gong: CVE-2017-0597</li>
<li>360 Marvel Team の Xingyuan Lin: CVE-2017-0627</li>
<li>Alibaba Inc. の Yong Wang(王勇)(<a href="https://twitter.com/ThomasKing2014">@ThomasKing2014</a>): CVE-2017-0588</li>
<li>Qihoo 360 Technology Co. Ltd. IceSword Lab の Yonggang Guo(<a href="https://twitter.com/guoygang">@guoygang</a>): CVE-2016-10289、CVE-2017-0465</li>
<li>Qihoo 360 Technology Co. Ltd. Vulpecker Team の Yu Pan: CVE-2016-10282、CVE-2017-0615</li>
<li>Qihoo 360 Technology Co. Ltd. Vulpecker Team の Yu Pan、Peide Zhang: CVE-2017-0618、CVE-2017-0625</li>
</ul>
<h2 id="2017-05-01-details">セキュリティ パッチレベル 2017-05-01 の脆弱性の詳細</h2>
<p>パッチレベル 2017-05-01 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p>
<h3 id="rce-in-mediaserver">メディアサーバーでのリモートコード実行の脆弱性</h3>
<p>メディアサーバーにリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0587</td>
<td><a href="https://android.googlesource.com/platform/external/libmpeg2/+/a86eb798d077b9b25c8f8c77e3c02c2f287c1ce7">A-35219737</a></td>
<td>重大</td>
<td>すべて</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 1 月 4 日</td>
</tr>
<tr>
<td>CVE-2017-0588</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/6f1d990ce0f116a205f467d9eb2082795e33872b">A-34618607</a></td>
<td>重大</td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 1 月 21 日</td>
</tr>
<tr>
<td>CVE-2017-0589</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/bcfc7124f6ef9f1ec128fb2e90de774a5b33d199">A-34897036</a></td>
<td>重大</td>
<td>すべて</td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 2 月 1 日</td>
</tr>
<tr>
<td>CVE-2017-0590</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/45c97f878bee15cd97262fe7f57ecea71990fed7">A-35039946</a></td>
<td>重大</td>
<td>すべて</td>
<td>5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 2 月 6 日</td>
</tr>
<tr>
<td>CVE-2017-0591</td>
<td><a href="https://android.googlesource.com/platform/external/libavc/+/5c3fd5d93a268abb20ff22f26009535b40db3c7d">A-34097672</a></td>
<td>重大</td>
<td>すべて</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>Google 社内</td>
</tr>
<tr>
<td>CVE-2017-0592</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/acc192347665943ca674acf117e4f74a88436922">A-34970788</a></td>
<td>重大</td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>Google 社内</td>
</tr>
</tbody></table>
<h3 id="eop-in-framework-apis">フレームワーク API での権限昇格の脆弱性</h3>
<p>フレームワーク API に権限昇格の脆弱性があるため、悪意のあるローカルアプリがカスタム権限にアクセスできるおそれがあります。アプリデータを別のアプリから分離するオペレーティング システムの保護を回避する一般的な方法となるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0593</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/78efbc95412b8efa9a44d573f5767ae927927d48">A-34114230</a></td>
<td></td>
<td>すべて</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 1 月 5 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-mediaserver">メディアサーバーでの権限昇格の脆弱性</h3>
<p>メディアサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0594</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/594bf934384920618d2b6ce0bcda1f60144cb3eb">A-34617444</a></td>
<td></td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 1 月 22 日</td>
</tr>
<tr>
<td>CVE-2017-0595</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/5443b57cc54f2e46b35246637be26a69e9f493e1">A-34705519</a></td>
<td></td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td>
<td>2017 年 1 月 24 日</td>
</tr>
<tr>
<td>CVE-2017-0596</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/5443b57cc54f2e46b35246637be26a69e9f493e1">A-34749392</a></td>
<td></td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1</td>
<td>2017 年 1 月 24 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-audioserver">オーディオサーバーでの権限昇格の脆弱性</h3>
<p>オーディオサーバーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによって特権プロセス内で任意のコードが実行されるおそれがあります。サードパーティのアプリが通常はアクセスできない権限に昇格してローカルにアクセスするのに利用されるおそれがあるので、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0597</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/a9188f89179a7edd301abaf37d644adf5d647a04">A-34749571</a></td>
<td></td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 1 月 25 日</td>
</tr>
</tbody></table>
<h3 id="id-in-framework-apis">フレームワーク API での情報開示の脆弱性</h3>
<p>フレームワーク API に情報開示の脆弱性があるため、悪意のあるローカルアプリが、アプリデータを他のアプリから分離するオペレーティング システムの保護を回避するおそれがあります。アプリがアクセス権限のないデータにアクセスするのに利用されるおそれがあるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0598</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/4e110ab20bb91e945a17c6e166e14e2da9608f08">A-34128677</a>
[<a href="https://android.googlesource.com/platform/frameworks/base/+/d42e1204d5dddb78ec9d20d125951b59a8344f40">2</a>]</td>
<td></td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 1 月 6 日</td>
</tr>
</tbody></table>
<h3 id="dos-in-mediaserver">メディアサーバーでのサービス拒否の脆弱性</h3>
<p>メディアサーバーにリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。リモートでのサービス拒否の可能性があるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0599</td>
<td><a href="https://android.googlesource.com/platform/external/libhevc/+/a1424724a00d62ac5efa0e27953eed66850d662f">A-34672748</a></td>
<td></td>
<td>すべて</td>
<td>6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 1 月 23 日</td>
</tr>
<tr>
<td>CVE-2017-0600</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/961e5ac5788b52304e64b9a509781beaf5201fb0">A-35269635</a></td>
<td></td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 2 月 10 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-bluetooth">Bluetooth での権限昇格の脆弱性</h3>
<p>Bluetooth に権限昇格の脆弱性があるため、悪意のあるローカルアプリが Bluetooth を経由してユーザーの許可なしに有害なファイルを受け取るおそれがあります。ユーザー操作の要件がローカルで回避されるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0601</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/667d2cbe3eb1450f273a4f6595ccef35e1f0fe4b">A-35258579</a></td>
<td></td>
<td>すべて</td>
<td>7.0、7.1.1、7.1.2</td>
<td>2017 年 2 月 9 日</td>
</tr>
</tbody></table>
<h3 id="id-in-file-based-encryption">ファイルベースの暗号化での情報開示の脆弱性</h3>
<p>ファイルベースの暗号化に情報開示の脆弱性があるため、悪意のあるローカルの攻撃者が、ロック画面のオペレーティング システムの保護を回避するおそれがあります。ロック画面が回避されるおそれがあるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0493</td>
<td><a href="https://android.googlesource.com/platform/frameworks/base/+/e4cefbf4fce458489b5f1bebc79dfaf566bcc5d5">A-32793550</a>
[<a href="https://android.googlesource.com/platform/frameworks/base/+/f806d65e615b942c268a5f68d44bde9d55634972">2</a>]
[<a href="https://android.googlesource.com/platform/frameworks/base/+/58552f814a03d978b4a6507f3c16f71964f9b28f">3</a>]</td>
<td></td>
<td>すべて</td>
<td>7.0、7.1.1</td>
<td>2016 年 11 月 9 日</td>
</tr>
</tbody></table>
<h3 id="id-in-bluetooth">Bluetooth での情報開示の脆弱性</h3>
<p>Bluetooth に情報開示の脆弱性があるため、悪意のあるローカルアプリが、アプリデータを他のアプリから分離するオペレーティング システムの保護を回避するおそれがあります。この脆弱性に固有の詳細情報から、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0602</td>
<td><a href="https://android.googlesource.com/platform/system/bt/+/a4875a49404c544134df37022ae587a4a3321647">A-34946955</a></td>
<td></td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2016 年 12 月 5 日</td>
</tr>
</tbody></table>
<h3 id="id-in-openssl-&-boringssl">OpenSSL と BoringSSL での情報開示の脆弱性</h3>
<p>OpenSSL と BoringSSL に情報開示の脆弱性があるため、リモートの攻撃者が機密情報にアクセスできるおそれがあります。この脆弱性に固有の詳細情報から、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-7056</td>
<td><a href="https://android.googlesource.com/platform/external/boringssl/+/13179a8e75fee98740b5ce728752aa7294b3e32d">A-33752052</a></td>
<td></td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2016 年 12 月 19 日</td>
</tr>
</tbody></table>
<h3 id="dos-in-mediaserver-2">メディアサーバーでのサービス拒否の脆弱性</h3>
<p>メディアサーバーにサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。一般的でない端末設定が必要なため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0603</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/36b04932bb93cc3269279282686b439a17a89920">A-35763994</a></td>
<td></td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2017 年 2 月 23 日</td>
</tr>
</tbody></table>
<h3 id="dos-in-mediaserver-3">メディアサーバーでのサービス拒否の脆弱性</h3>
<p>メディアサーバーにリモートのサービス拒否の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、端末のハングや再起動を引き起こすおそれがあります。この脆弱性に固有の詳細情報から、この問題の重大度は「低」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0635</td>
<td><a href="https://android.googlesource.com/platform/frameworks/av/+/523f6b49c1a2289161f40cf9fe80b92e592e9441">A-35467107</a></td>
<td></td>
<td>すべて</td>
<td>7.0、7.1.1、7.1.2</td>
<td>2017 年 2 月 16 日</td>
</tr>
</tbody></table>
<h2 id="2017-05-05-details">セキュリティ パッチレベル 2017-05-05 の脆弱性の詳細</h2>
<p>パッチレベル 2017-05-05 に該当するセキュリティ脆弱性の各項目について、下記に詳細を説明します。問題の内容とその重大度の根拠について説明し、CVE、関連する参照先、重大度、更新対象の Google 端末、更新対象の AOSP バージョン(該当する場合)、報告日を表にまとめています。該当する場合は、バグ ID の欄に、その問題に対処した一般公開されている変更(AOSP の変更の一覧など)へのリンクがあります。複数の変更が同じバグに関係する場合は、バグ ID の後に記載した番号に、追加の参照へのリンクを設定しています。</p>
<h3 id="rce-in-giflib">GIFLIB でのリモートコード実行の脆弱性</h3>
<p>GIFLIB にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、メディア ファイルやデータの処理中にメモリ破壊を引き起こすおそれがあります。メディアサーバーのプロセスにおいてリモートでコードが実行されるおそれがあるため、この問題は「重大」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2015-7555</td>
<td><a href="https://android.googlesource.com/platform/external/giflib/+/dc07290edccc2c3fc4062da835306f809cea1fdc">A-34697653</a></td>
<td>重大</td>
<td>すべて</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0、7.1.1、7.1.2</td>
<td>2016 年 4 月 13 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-mediatek-touchscreen-driver">MediaTek タッチスクリーン ドライバでの権限昇格の脆弱性</h3>
<p>MediaTek タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10274</td>
<td>A-30202412*<br />
M-ALPS02897901</td>
<td>重大</td>
<td>なし**</td>
<td>2016 年 7 月 16 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<p>** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="eop-in-qualcomm-bootloader">Qualcomm ブートローダーでの権限昇格の脆弱性</h3>
<p>Qualcomm ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10275</td>
<td>A-34514954<br />
<a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=1a0a15c380e11fc46f8d8706ea5ae22b752bdd0b">
QC-CR#1009111</a></td>
<td>重大</td>
<td>Nexus 5X、Nexus 6、Pixel、Pixel XL、Android One</td>
<td>2016 年 9 月 13 日</td>
</tr>
<tr>
<td>CVE-2016-10276</td>
<td>A-32952839<br />
<a href="https://source.codeaurora.org/quic/la//kernel/lk/commit/?id=5dac431748027e8b50a5c4079967def4ea53ad64">
QC-CR#1094105</a></td>
<td>重大</td>
<td>Nexus 5X、Nexus 6P、Pixel、Pixel XL</td>
<td>2016 年 11 月 16 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-kernel-sound-subsystem">カーネル サウンド サブシステムでの権限昇格の脆弱性</h3>
<p>カーネル サウンド サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日 </th>
</tr>
<tr>
<td>CVE-2016-9794</td>
<td>A-34068036<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=a27178e05b7c332522df40904f27674e36ee3757">
アップストリーム カーネル</a></td>
<td>重大</td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player</td>
<td>2016 年 12 月 3 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-motorola-bootloader">Motorola ブートローダーでの権限昇格の脆弱性</h3>
<p>Motorola ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってブートローダー内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10277</td>
<td>A-33840490*<br />
</td>
<td>重大</td>
<td>Nexus 6</td>
<td>2016 年 12 月 21 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="eop-in-nvidia-video-driver">NVIDIA ビデオドライバでの権限昇格の脆弱性</h3>
<p>NVIDIA ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0331</td>
<td>A-34113000*<br />
N-CVE-2017-0331</td>
<td>重大</td>
<td>Nexus 9</td>
<td>2017 年 1 月 4 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="eop-in-qualcomm-power-driver">Qualcomm 電源ドライバでの権限昇格の脆弱性</h3>
<p>カーネルの Qualcomm 電源ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。ローカルでの永久的な端末の侵害につながるおそれがあり、端末を修復するにはオペレーティング システムの再適用が必要になる可能性があるため、この問題は「重大」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0604</td>
<td>A-35392981<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=6975e2dd5f37de965093ba3a8a08635a77a960f7">
QC-CR#826589</a></td>
<td>重大</td>
<td>なし*</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<p>* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="vulnerabilities-in-qualcomm-components">Qualcomm コンポーネントでの脆弱性</h3>
<p>Qualcomm コンポーネントに影響する脆弱性は次のとおりです。詳細については、Qualcomm AMSS の 2016 年 8 月、9 月、10 月、12 月のセキュリティに関する公開情報をご覧ください。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度*</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10240</td>
<td>A-32578446**<br />
QC-CR#955710</td>
<td>重大</td>
<td>Nexus 6P</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2016-10241</td>
<td>A-35436149**<br />
QC-CR#1068577</td>
<td>重大</td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2016-10278</td>
<td>A-31624008**<br />
QC-CR#1043004</td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2016-10279</td>
<td>A-31624421**<br />
QC-CR#1031821</td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>Qualcomm 社内</td>
</tr>
</tbody></table>
<p>* この一連の問題の重大度はベンダーが決定したものです。</p>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="rce-in-libxml2">libxml2 でのリモートコード実行の脆弱性</h3>
<p>libxml2 にリモートコード実行の脆弱性があるため、攻撃者が特別に細工したファイルを使用して、非特権プロセス内で任意のコードを実行するおそれがあります。このライブラリを使用するアプリでリモートコードが実行される可能性があるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="18%" />
<col width="17%" />
<col width="10%" />
<col width="19%" />
<col width="18%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>更新対象の AOSP バージョン</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-5131</td>
<td>A-32956747*</td>
<td></td>
<td>なし**</td>
<td>4.4.4、5.0.2、5.1.1、6.0、6.0.1、7.0</td>
<td>2016 年 7 月 23 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<p>** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="eop-in-mediatek-thermal-driver">MediaTek サーマル ドライバでの権限昇格の脆弱性</h3>
<p>MediaTek サーマル ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10280</td>
<td>A-28175767*<br />
M-ALPS02696445</td>
<td></td>
<td>なし**</td>
<td>2016 年 4 月 11 日</td>
</tr>
<tr>
<td>CVE-2016-10281</td>
<td>A-28175647*<br />
M-ALPS02696475</td>
<td></td>
<td>なし**</td>
<td>2016 年 4 月 11 日</td>
</tr>
<tr>
<td>CVE-2016-10282</td>
<td>A-33939045*<br />
M-ALPS03149189</td>
<td></td>
<td>なし**</td>
<td>2016 年 12 月 27 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<p>** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="eop-in-qualcomm-wi-fi-driver">Qualcomm Wi-Fi ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm Wi-Fi ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10283</td>
<td>A-32094986<br />
<a href="https://source.codeaurora.org/quic/la/platform/vendor/qcom-opensource/wlan/qcacld-2.0/commit/?id=93863644b4547324309613361d70ad9dc91f8dfd">
QC-CR#2002052</a></td>
<td></td>
<td>Nexus 5X、Pixel、Pixel XL、Android One</td>
<td>2016 年 10 月 11 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-video-driver">Qualcomm ビデオドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10284</td>
<td>A-32402303*<br />
QC-CR#2000664</td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2016 年 10 月 24 日</td>
</tr>
<tr>
<td>CVE-2016-10285</td>
<td>A-33752702<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=67dfd3a65336e0b3f55ee83d6312321dc5f2a6f9">
QC-CR#1104899</a></td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>2016 年 12 月 19 日</td>
</tr>
<tr>
<td>CVE-2016-10286</td>
<td>A-35400904<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=5d30a3d0dc04916ddfb972bfc52f8e636642f999">
QC-CR#1090237</a></td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="eop-in-kernel-performance-subsystem">カーネル パフォーマンス サブシステムでの権限昇格の脆弱性</h3>
<p>カーネル パフォーマンス サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2015-9004</td>
<td>A-34515362<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=c3c87e770458aa004bd7ed3f29945ff436fd6511">
アップストリーム カーネル</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player</td>
<td>2016 年 11 月 23 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-sound-driver">Qualcomm サウンド ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm サウンド ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10287</td>
<td>A-33784446<br />
<a href="https://www.codeaurora.org/gitweb/quic/la/?p=kernel/msm-4.4.git;a=commit;h=937bc9e644180e258c68662095861803f7ba4ded">
QC-CR#1112751</a></td>
<td></td>
<td>Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2016 年 12 月 20 日</td>
</tr>
<tr>
<td>CVE-2017-0606</td>
<td>A-34088848<br />
<a href="https://www.codeaurora.org/gitweb/quic/la/?p=kernel/msm-4.4.git;a=commit;h=d3237316314c3d6f75a58192971f66e3822cd250">
QC-CR#1116015</a></td>
<td></td>
<td>Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 1 月 3 日</td>
</tr>
<tr>
<td>CVE-2016-5860</td>
<td>A-34623424<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=9f91ae0d7203714fc39ae78e1f1c4fd71ed40498">
QC-CR#1100682</a></td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>2017 年 1 月 22 日</td>
</tr>
<tr>
<td>CVE-2016-5867</td>
<td>A-35400602<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=065360da7147003aed8f59782b7652d565f56be5">
QC-CR#1095947</a></td>
<td></td>
<td>なし*</td>
<td>2017 年 2 月 15 日</td>
</tr>
<tr>
<td>CVE-2017-0607</td>
<td>A-35400551<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b003c8d5407773d3aa28a48c9841e4c124da453d">
QC-CR#1085928</a></td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>2017 年 2 月 15 日</td>
</tr>
<tr>
<td>CVE-2017-0608</td>
<td>A-35400458<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b66f442dd97c781e873e8f7b248e197f86fd2980">
QC-CR#1098363</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
<tr>
<td>CVE-2017-0609</td>
<td>A-35399801<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=38a83df036084c00e8c5a4599c8ee7880b4ee567">
QC-CR#1090482</a></td>
<td></td>
<td>Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
<tr>
<td>CVE-2016-5859</td>
<td>A-35399758<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=97fdb441a9fb330a76245e473bc1a2155c809ebe">
QC-CR#1096672</a></td>
<td></td>
<td>なし*</td>
<td>2017 年 2 月 15 日</td>
</tr>
<tr>
<td>CVE-2017-0610</td>
<td>A-35399404<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=65009746a6e649779f73d665934561ea983892fe">
QC-CR#1094852</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
<tr>
<td>CVE-2017-0611</td>
<td>A-35393841<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=1aa5df9246557a98181f03e98530ffd509b954c8">
QC-CR#1084210</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
<tr>
<td>CVE-2016-5853</td>
<td>A-35392629<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=a8f3b894de319718aecfc2ce9c691514696805be">
QC-CR#1102987</a></td>
<td></td>
<td>なし*</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<p>* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="eop-in-qualcomm-led-driver">Qualcomm LED ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm LED ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10288</td>
<td>A-33863909<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=db2cdc95204bc404f03613d5dd7002251fb33660">
QC-CR#1109763</a></td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>2016 年 12 月 23 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-crypto-driver">Qualcomm crypto ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm crypto ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10289</td>
<td>A-33899710<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a604e6f3889ccc343857532b63dea27603381816">
QC-CR#1116295</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2016 年 12 月 24 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-shared-memory-driver">Qualcomm 共有メモリドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm 共有メモリドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10290</td>
<td>A-33898330<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a5e46d8635a2e28463b365aacdeab6750abd0d49">
QC-CR#1109782</a></td>
<td></td>
<td>Nexus 5X、Nexus 6P、Pixel、Pixel XL</td>
<td>2016 年 12 月 24 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-slimbus-driver">Qualcomm Slimbus ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm Slimbus ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10291</td>
<td>A-34030871<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a225074c0494ca8125ca0ac2f9ebc8a2bd3612de">
QC-CR#986837</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Android One</td>
<td>2016 年 12 月 31 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-adsprpc-driver">Qualcomm ADSPRPC ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm ADSPRPC ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0465</td>
<td>A-34112914<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=3823f0f8d0bbbbd675a42a54691f4051b3c7e544">
QC-CR#1110747</a></td>
<td></td>
<td>Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 1 月 5 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-secure-execution-environment-communicator-driver">Qualcomm Secure Execution Environment Communicator ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm Secure Execution Environment Communicator ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0612</td>
<td>A-34389303<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=05efafc998dc86c3b75af9803ca71255ddd7a8eb">
QC-CR#1061845</a></td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>2017 年 1 月 10 日</td>
</tr>
<tr>
<td>CVE-2017-0613</td>
<td>A-35400457<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=b108c651cae9913da1ab163cb4e5f7f2db87b747">
QC-CR#1086140</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
<tr>
<td>CVE-2017-0614</td>
<td>A-35399405<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=fc2ae27eb9721a0ce050c2062734fec545cda604">
QC-CR#1080290</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-mediatek-power-driver">MediaTek 電源ドライバでの権限昇格の脆弱性</h3>
<p>MediaTek 電源ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0615</td>
<td>A-34259126*<br />
M-ALPS03150278</td>
<td></td>
<td>なし**</td>
<td>2017 年 1 月 12 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<p>** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="eop-in-mediatek-system-management-interrupt-driver">MediaTek システム管理割り込みドライバでの権限昇格の脆弱性</h3>
<p>MediaTek システム管理割り込みドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0616</td>
<td>A-34470286*<br />
M-ALPS03149160</td>
<td></td>
<td>なし**</td>
<td>2017 年 1 月 19 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<p>** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="eop-in-mediatek-video-driver">MediaTek ビデオドライバでの権限昇格の脆弱性</h3>
<p>MediaTek ビデオドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0617</td>
<td>A-34471002*<br />
M-ALPS03149173</td>
<td></td>
<td>なし**</td>
<td>2017 年 1 月 19 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<p>** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="eop-in-mediatek-command-queue-driver">MediaTek コマンドキュー ドライバでの権限昇格の脆弱性</h3>
<p>MediaTek コマンドキュー ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0618</td>
<td>A-35100728*<br />
M-ALPS03161536</td>
<td></td>
<td>なし**</td>
<td>2017 年 2 月 7 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<p>** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="eop-in-qualcomm-pin-controller-driver">Qualcomm ピン コントローラ ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm ピン コントローラ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0619</td>
<td>A-35401152<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.14/commit/?id=72f67b29a9c5e6e8d3c34751600c749c5f5e13e1">
QC-CR#826566</a></td>
<td></td>
<td>Nexus 6、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-secure-channel-manager-driver">Qualcomm Secure Channel Manager ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm Secure Channel Manager ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0620</td>
<td>A-35401052<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=01b2c9a5d728ff6f2f1f28a5d4e927aaeabf56ed">
QC-CR#1081711</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-sound-codec-driver">Qualcomm サウンド コーデック ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm サウンド コーデック ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-5862</td>
<td>A-35399803<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=4199451e83729a3add781eeafaee32994ff65b04">
QC-CR#1099607</a></td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-kernel-voltage-regulator-driver">カーネルの電圧レギュレータ ドライバでの権限昇格の脆弱性</h3>
<p>カーネルの電圧レギュレータ ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2014-9940</td>
<td>A-35399757<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/stable/linux-stable.git/commit/?id=60a2362f769cf549dc466134efe71c8bf9fbaaba">
アップストリーム カーネル</a></td>
<td></td>
<td>Nexus 6、Nexus 9、Pixel C、Android One、Nexus Player</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-camera-driver">Qualcomm カメラドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm カメラドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0621</td>
<td>A-35399703<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=9656e2c2b3523af20502bf1e933e35a397f5e82f">
QC-CR#831322</a></td>
<td></td>
<td>Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-qualcomm-networking-driver">Qualcomm ネットワーク ドライバでの権限昇格の脆弱性</h3>
<p>Qualcomm ネットワーク ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-5868</td>
<td>A-35392791<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=fbb765a3f813f5cc85ddab21487fd65f24bf6a8c">
QC-CR#1104431</a></td>
<td></td>
<td>Nexus 5X、Pixel、Pixel XL</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-kernel-networking-subsystem">カーネル ネットワーク サブシステムでの権限昇格の脆弱性</h3>
<p>カーネル ネットワーク サブシステムに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-7184</td>
<td>A-36565222<br />
<a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=677e806da4d916052585301785d847c3b3e6186a">
アップストリーム カーネル</a> <a href="https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=f843ee6dd019bcece3e74e76ad9df0155655d0df">
[2]</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Android One</td>
<td>2017 年 5 月 23 日</td>
</tr>
</tbody></table>
<h3 id="eop-in-goodix-touchscreen-driver">Goodix タッチスクリーン ドライバでの権限昇格の脆弱性</h3>
<p>Goodix タッチスクリーン ドライバに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってカーネル内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0622</td>
<td>A-32749036<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=40efa25345003a96db34effbd23ed39530b3ac10">
QC-CR#1098602</a></td>
<td></td>
<td>Android One</td>
<td>Google 社内</td>
</tr>
</tbody></table>
<h3 id="eop-in-htc-bootloader">HTC ブートローダーでの権限昇格の脆弱性</h3>
<p>HTC ブートローダーに権限昇格の脆弱性があるため、悪意のあるローカルアプリによってブートローダー内で任意のコードが実行されるおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0623</td>
<td>A-32512358*<br />
</td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>Google 社内</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="id-in-qualcomm-wi-fi-driver">Qualcomm Wi-Fi ドライバでの情報開示の脆弱性</h3>
<p>Qualcomm Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用される可能性があるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0624</td>
<td>A-34327795*<br />
QC-CR#2005832</td>
<td></td>
<td>Nexus 5X、Pixel、Pixel XL</td>
<td>2017 年 1 月 16 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="id-in-mediatek-command-queue-driver">MediaTek コマンドキュー ドライバでの情報開示の脆弱性</h3>
<p>MediaTek コマンドキュー ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用される可能性があるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0625</td>
<td>A-35142799*<br />
M-ALPS03161531</td>
<td></td>
<td>なし**</td>
<td>2017 年 2 月 8 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<p>** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="id-in-qualcomm-crypto-engine-driver">Qualcomm crypto エンジン ドライバでの情報開示の脆弱性</h3>
<p>Qualcomm crypto エンジン ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。ユーザーの明示的な許可を得ずに機密データにアクセスするのに利用される可能性があるため、この問題の重大度は「高」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0626</td>
<td>A-35393124<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=64551bccab9b5b933757f6256b58f9ca0544f004">
QC-CR#1088050</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="dos-in-qualcomm-wi-fi-driver">Qualcomm Wi-Fi ドライバでのサービス拒否の脆弱性</h3>
<p>Qualcomm Wi-Fi ドライバにサービス拒否の脆弱性があるため、近くにいる攻撃者が Wi-Fi サブシステムでサービス拒否を引き起こすおそれがあります。リモートでのサービス拒否のおそれがあるため、この問題の重大度は「高」と判断されています</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10292</td>
<td>A-34514463*<br />
QC-CR#1065466</td>
<td></td>
<td>Nexus 5X、Pixel、Pixel XL</td>
<td>2016 年 12 月 16 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="id-in-kernel-uvc-driver">カーネル UVC ドライバでの情報開示の脆弱性</h3>
<p>カーネル UVC ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0627</td>
<td>A-33300353*<br />
</td>
<td></td>
<td>Nexus 5X、Nexus 6P、Nexus 9、Pixel C、Nexus Player</td>
<td>2016 年 12 月 2 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="id-in-qualcomm-video-driver">Qualcomm ビデオドライバでの情報開示の脆弱性</h3>
<p>
Qualcomm ビデオドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10293</td>
<td>A-33352393<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.10/commit/?id=2469d5374745a2228f774adbca6fb95a79b9047f">
QC-CR#1101943</a></td>
<td></td>
<td>Nexus 5X、Nexus 6P、Android One</td>
<td>2016 年 12 月 4 日</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-power-driver-(device-specific)">Qualcomm 電源ドライバでの情報開示の脆弱性(端末固有)</h3>
<p>Qualcomm 電源ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10294</td>
<td>A-33621829<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=9e9bc51ffb8a298f0be5befe346762cdb6e1d49c">
QC-CR#1105481</a></td>
<td></td>
<td>Nexus 5X、Nexus 6P、Pixel、Pixel XL</td>
<td>2016 年 12 月 14 日</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-led-driver">Qualcomm LED ドライバでの情報開示の脆弱性</h3>
<p>Qualcomm LED ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10295</td>
<td>A-33781694<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=f11ae3df500bc2a093ddffee6ea40da859de0fa9">
QC-CR#1109326</a></td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>2016 年 12 月 20 日</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-shared-memory-driver">Qualcomm 共有メモリドライバでの情報開示の脆弱性</h3>
<p>Qualcomm 共有メモリドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-10296</td>
<td>A-33845464<br />
<a href="https://source.codeaurora.org/quic/la/kernel/msm-3.18/commit/?id=a5e46d8635a2e28463b365aacdeab6750abd0d49">
QC-CR#1109782</a></td>
<td></td>
<td>Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2016 年 12 月 22 日</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-camera-driver">Qualcomm カメラドライバでの情報開示の脆弱性</h3>
<p>Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0628</td>
<td>A-34230377<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=012e37bf91490c5b59ba2ab68a4d214b632b613f">
QC-CR#1086833</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Pixel、Pixel XL</td>
<td>2017 年 1 月 10 日</td>
</tr>
<tr>
<td>CVE-2017-0629</td>
<td>A-35214296<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=012e37bf91490c5b59ba2ab68a4d214b632b613f">
QC-CR#1086833</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Pixel、Pixel XL</td>
<td>2017 年 2 月 8 日</td>
</tr>
</tbody></table>
<h3 id="id-in-kernel-trace-subsystem">カーネル トレース サブシステムでの情報開示の脆弱性</h3>
<p>カーネル トレース サブシステムに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0630</td>
<td>A-34277115*<br />
</td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Pixel、Pixel XL、Pixel C、Android One、Nexus Player</td>
<td>2017 年 1 月 11 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="id-in-qualcomm-sound-codec-driver">Qualcomm サウンド コーデック ドライバでの情報開示の脆弱性</h3>
<p>Qualcomm サウンド コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-5858</td>
<td>A-35400153<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=3154eb1d263b9c3eab2c9fa8ebe498390bf5d711">
QC-CR#1096799</a> <a href="https://source.codeaurora.org/quic/la//kernel/msm-3.18/commit/?id=afc5bea71bc8f251dad1104568383019f4923af6">
[2]</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-camera-driver-2">Qualcomm カメラドライバでの情報開示の脆弱性</h3>
<p>Qualcomm カメラドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0631</td>
<td>A-35399756<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=8236d6ebc7e26361ca7078cbeba01509f10941d8">
QC-CR#1093232</a></td>
<td></td>
<td>Nexus 5X、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-sound-driver">Qualcomm サウンド ドライバでの情報開示の脆弱性</h3>
<p>Qualcomm サウンド ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-5347</td>
<td>A-35394329<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=f14390f13e62460fc6b05fc0acde0e825374fdb6">
QC-CR#1100878</a></td>
<td></td>
<td>Nexus 5X、Nexus 6、Nexus 6P、Pixel、Pixel XL、Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="id-in-qualcomm-spcom-driver">Qualcomm SPCom ドライバでの情報開示の脆弱性</h3>
<p>Qualcomm SPCom ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2016-5854</td>
<td>A-35392792<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=28d23d4d7999f683b27b6e0c489635265b67a4c9">
QC-CR#1092683</a></td>
<td></td>
<td>なし*</td>
<td>2017 年 2 月 15 日</td>
</tr>
<tr>
<td>CVE-2016-5855</td>
<td>A-35393081<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-4.4/commit/?id=a5edb54e93ba85719091fe2bc426d75fa7059834">
QC-CR#1094143</a></td>
<td></td>
<td>なし*</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<p>* Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h3 id="id-in-qualcomm-sound-codec-driver-2">Qualcomm サウンド コーデック ドライバでの情報開示の脆弱性</h3>
<p>Qualcomm サウンド コーデック ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0632</td>
<td>A-35392586<br />
<a href="https://source.codeaurora.org/quic/la//kernel/msm-3.10/commit/?id=970d6933e53c1f7ca8c8b67f49147b18505c3b8f">
QC-CR#832915</a></td>
<td></td>
<td>Android One</td>
<td>2017 年 2 月 15 日</td>
</tr>
</tbody></table>
<h3 id="id-in-broadcom-wi-fi-driver">Broadcom Wi-Fi ドライバでの情報開示の脆弱性</h3>
<p>Broadcom Wi-Fi ドライバに情報開示の脆弱性があるため、悪意のあるローカル コンポーネントが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0633</td>
<td>A-36000515*<br />
B-RB#117131</td>
<td></td>
<td>Nexus 6、Nexus 6P、Nexus 9、Pixel C、Nexus Player</td>
<td>2017 年 2 月 23 日</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="id-in-synaptics-touchscreen-driver">Synaptics タッチスクリーン ドライバでの情報開示の脆弱性</h3>
<p>Synaptics タッチスクリーン ドライバに情報開示の脆弱性があるため、悪意のあるローカルアプリが権限レベルの範囲外のデータにアクセスするおそれがあります。最初に特権プロセスへの侵入が必要であるため、この問題の重大度は「中」と判断されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2017-0634</td>
<td>A-32511682*<br />
</td>
<td></td>
<td>Pixel、Pixel XL</td>
<td>Google 社内</td>
</tr>
</tbody></table>
<p>* この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<h3 id="vulnerabilities-in-qualcomm-components-2">Qualcomm コンポーネントでの脆弱性</h3>
<p>Qualcomm コンポーネントに影響する次の脆弱性は、2014~2016 年に Qualcomm AMSS のセキュリティに関する公開情報としてリリースされたものです。これらは Android のセキュリティ パッチレベルとの関連付けのため、今回の「Android のセキュリティに関する公開情報」に追記されています。</p>
<table>
<colgroup><col width="19%" />
<col width="20%" />
<col width="10%" />
<col width="23%" />
<col width="17%" />
</colgroup><tbody><tr>
<th>CVE</th>
<th>参照</th>
<th>重大度*</th>
<th>更新対象の Google 端末</th>
<th>報告日</th>
</tr>
<tr>
<td>CVE-2014-9923</td>
<td>A-35434045**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9924</td>
<td>A-35434631**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9925</td>
<td>A-35444657**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9926</td>
<td>A-35433784**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9927</td>
<td>A-35433785**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9928</td>
<td>A-35438623**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9929</td>
<td>A-35443954**<br />
QC-CR#644783</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9930</td>
<td>A-35432946**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2015-9005</td>
<td>A-36393500**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2015-9006</td>
<td>A-36393450**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2015-9007</td>
<td>A-36393700**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2016-10297</td>
<td>A-36393451**</td>
<td>重大</td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9941</td>
<td>A-36385125**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9942</td>
<td>A-36385319**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9943</td>
<td>A-36385219**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9944</td>
<td>A-36384534**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9945</td>
<td>A-36386912**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9946</td>
<td>A-36385281**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9947</td>
<td>A-36392400**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9948</td>
<td>A-36385126**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9949</td>
<td>A-36390608**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9950</td>
<td>A-36385321**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9951</td>
<td>A-36389161**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
<tr>
<td>CVE-2014-9952</td>
<td>A-36387019**</td>
<td></td>
<td>なし***</td>
<td>Qualcomm 社内</td>
</tr>
</tbody></table>
<p>* この一連の問題の重大度はベンダーが決定したものです。</p>
<p>** この問題に対するパッチは公開されていません。アップデートは <a href="https://developers.google.com/android/nexus/drivers">Google デベロッパー サイト</a>から入手できる Nexus 端末用最新バイナリ ドライバに含まれています。</p>
<p>*** Android 7.1.1 以降が搭載されたサポート対象の Google 端末において、適用できるすべてのアップデートがインストールされている場合は、この脆弱性が悪用されることはありません。</p>
<h2 id="common-questions-and-answers">一般的な質問と回答</h2>
<p>上記の公開情報に対する一般的な質問についての回答は以下のとおりです。</p>
<p><strong>1. 上記の問題に対処するように端末が更新されているかを判断するには、どうすればよいですか?
</strong></p>
<p>端末のセキュリティ パッチレベルを確認する方法については、<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">Pixel および Nexus のアップデート スケジュール</a>に記載されている手順をご覧ください。</p>
<ul>
<li>セキュリティ パッチレベル 2017-05-01 以降では、セキュリティ パッチレベル 2017-05-01 に関連するすべての問題に対処しています。</li>
<li>セキュリティ パッチレベル 2017-05-05 以降では、セキュリティ パッチレベル 2017-05-05、およびそれ以前のすべてのパッチレベルに関連するすべての問題に対処しています。
</li>
</ul>
<p>このアップデートを組み込んだ端末メーカーは、パッチレベル文字列を以下に設定する必要があります。</p>
<ul>
<li>[ro.build.version.security_patch]:[2017-05-01]</li>
<li>[ro.build.version.security_patch]:[2017-05-05]</li>
</ul>
<p><strong>2. この公開情報に 2 つのセキュリティ パッチレベルがあるのはなぜですか?</strong></p>
<p>この公開情報では、2 つのセキュリティ パッチレベルを定義しています。これは、すべての Android 搭載端末で同様の問題が発生する一部の脆弱性をサブセットとし、Android パートナーが迅速かつ柔軟に修正できるようにするためです。Android パートナーには、この公開情報に掲載されている問題をすべて修正し、最新のセキュリティ パッチレベルを使用することが推奨されています。</p>
<ul>
<li>2017 年 5 月 1 日のセキュリティ パッチレベルを使用する端末には、そのセキュリティ パッチレベルに関連するすべての問題と、それ以前のセキュリティに関する公開情報で報告されたすべての問題の修正を組み込む必要があります。</li>
<li>2017 年 5 月 5 日以降のセキュリティ パッチレベルを使用する端末には、今回(およびそれ以前)のセキュリティに関する公開情報に掲載された、該当するすべてのパッチを組み込む必要があります。</li>
</ul>
<p>パートナーには、対処するすべての問題の修正を 1 つのアップデートにまとめて提供することが推奨されています。</p>
<p><strong>3. 各問題の影響を受ける Google 端末を判断するにはどうすればよいですか?</strong></p>
<p><a href="#2017-05-01-details">2017-05-01</a><a href="#2017-05-05-details">2017-05-05</a> のセキュリティの脆弱性の詳細に関するセクションで、各表中の「更新対象の Google 端末<em></em>」列に、その問題の影響を受ける、更新対象の Google 端末の種類を記載しています。この列には次のいずれかが表示されています。</p>
<ul>
<li><strong>すべての Google 端末</strong>: 問題がすべての端末と Pixel 端末に影響を与える場合、表の「更新対象の Google 端末<em></em>」列には「すべて」と記載されています。「すべて」には<a href="https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices">サポート対象の端末</a>(Nexus 5X、Nexus 6、Nexus 6P、Nexus 9、Android One、Nexus Player、Pixel C、Pixel、Pixel XL)が含まれます。</li>
<li><strong>一部の Google 端末</strong>: 問題が一部の Google 端末のみに影響する場合、「更新対象の Google 端末<em></em>」列には影響を受ける Google 端末が記載されています。</li>
<li><strong>影響を受ける Google 端末がない</strong>: Android 7.0 を搭載した Google 端末が問題の影響を受けない場合、表の「更新対象の Google 端末<em></em>」列には「なし」と記載されています。</li>
</ul>
<p><strong>4. 「参照」列の項目はどのような情報に関連付けられていますか?</strong></p>
<p>脆弱性の詳細の表で「参照<em></em>」列に記載されている内容には、参照の値が属している組織を示した接頭辞が含まれている場合があります。各接頭辞の意味は以下のとおりです。</p>
<table>
<tbody><tr>
<th>接頭辞</th>
<th>参照</th>
</tr>
<tr>
<td>A-</td>
<td>Android バグ ID</td>
</tr>
<tr>
<td>QC-</td>
<td>Qualcomm の参照番号</td>
</tr>
<tr>
<td>M-</td>
<td>MediaTek の参照番号</td>
</tr>
<tr>
<td>N-</td>
<td>NVIDIA の参照番号</td>
</tr>
<tr>
<td>B-</td>
<td>Broadcom の参照番号</td>
</tr>
</tbody></table>
<h2 id="revisions">改訂</h2>
<ul>
<li>2017 年 5 月 1 日: 情報公開</li>
<li>2017 年 5 月 2 日: 公開情報を改訂し AOSP リンクを追加</li>
<li>2017 年 8 月 10 日: 公開情報を改訂し CVE-2017-0493 向け AOSP リンクを追加</li>
<li>2017 年 8 月 17 日: 公開情報を改訂し参照番号を更新</li>
<li>2017 年 10 月 3 日: 公開情報を改訂し CVE-2017-0605 を削除</li>
</ul>
</body></html>