Google、スマホなど向けOS「Android」の2017年11月度のセキュリティーパッチを提供開始!WPA2の脆弱性「KRACKs」などを修正――AOSPやNexus 6P・5X・Playerなどで配信



Googleが2017年11月分のAndroid向けセキュリティーパッチを提供開始!

Googleは6日(現地時間)、同社が開発するスマートフォン(スマホ)やタブレットなど向けプラットフォーム「Android」における2017年11月度のセキュリティーパッチを提供開始したとお知らせしています。今年10月に発覚した無線LAN(Wi-Fi)の暗号化方式「WPA2」における脆弱性「KRACKs」への対応などが行われています。

Androidのオープンソース版「AOSP(Android Open Source Project)」で48時間以内に利用できるほか、Googleブランドの「Nexus 6P」や「Nexus 5X」、「Nexus Player」、「Pixel」、「Pixel XL」、「Pixel 2」ではファクトリーイメージが公開されており、これらの機種向けには順次OTAも配信開始されています。

ただし、実際にNexus 6Pに公開されているファクトリーイメージを導入してみたところAndroidセキュリティパッチレベルが2017年11月5日となっており、KRACKsへの対応が行われる2017年11月6日にはなっていなかったため、実際にKRACKsへの対応するにはもうしばらくかかるのかもしれません。

Androidにおける2017年11月度のセキュリティーパッチは「2017-11-01」および「2017-11-05」、「2017-11-06」の3つあり、特にWPA2の脆弱性であるKRACKsへ対応する「CVE-2017-13077〜88」については2017-11-06が適用されている必要があります。

これらのCVE-2017-13077〜88はともに危険度がHighとなっており、CVE-2017-13082のみがAndroid 7.0以降で修正されますが、他はAndroid 5.0.2以降での修正となっています。

KRACKsはこれまで安全性が高いと思われていたWPA2において暗号化されたデータの複号による盗聴が行われる脆弱性があり、特定の暗号化利用時における通信内容の改ざんが行われてしまう可能性が出たというものです。

現在のところこの脆弱性を悪用した事例は出ておらず、すでにWindows 10やiOS、macOSなどでは修正済みで、Wi-Fiのアクセスポイントではなく、スマホなどのクライアント側で対応すれば良いため、各OSでの修正が急がれています。

またこの他にも2017-11-01および2017-11-05に含まれる分でもMedia frameworkやSystem、Qualcomm componentsにて危険度がCriticalのものがあり、今後、各メーカーがこのセキュリティーパッチを元にソフトウェア更新を実施することになります。

Googleでは2017-11-01および2017-11-05はおよそ1ヶ月前、2017-11-06は先月中に各メーカーに連絡しているとしています。2017年11月度の各Androidセキュリティパッチレベルにおける修正点は以下の通り。

【2017-11-01】
CategoryCVEReferencesTypeSeverityUpdated AOSP versions
FrameworkCVE-2017-0830A-62623498EoPHigh6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0831A-37442941EoPHigh8.0
Media frameworkCVE-2017-0832A-62887820RCECritical6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0833A-62896384RCECritical6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0834A-63125953RCECritical6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0835A-63316832RCECritical6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0836A-64893226RCECritical5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0839A-64478003IDHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0840A-62948670IDHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
SystemCVE-2017-0841A-37723026RCECritical5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-0842A-37502513EoPHigh6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0

【2017-11-05】
CategoryCVEReferencesTypeSeverityComponent
Kernel componentsCVE-2017-9077A-62265013
Upstream kernel
EoPHighNetworking subsystem
CVE-2017-7541A-64258073
Upstream kernel
EoPHighWLAN
MediaTek componentsCVE-2017-0843A-62670819*
M-ALPS03361488
EoPHighCCCI
NVIDIA componentsCVE-2017-6264A-34705430*
N-CVE-2017-6264
EoPHighGPU driver
Qualcomm componentsCVE-2017-11013A-64453535
QC-CR#2058261 *
RCECriticalWLAN
CVE-2017-11015A-64438728
QC-CR#2060959 *
RCECriticalWLAN
CVE-2017-11014A-64438727
QC-CR#2060959
RCECriticalWLAN
CVE-2017-11092A-62949902*
QC-CR#2077454
EoPHighGPU driver
CVE-2017-9690A-36575870*
QC-CR#2045285
EoPHighQBT1000 driver
CVE-2017-11017A-64453575
QC-CR#2055629
EoPHighLinux boot
CVE-2017-11028A-64453533
QC-CR#2008683 *
IDHighCamera

【2017-11-06】
CategoryCVEReferencesTypeSeverityUpdated AOSP versions
SystemCVE-2017-13077A-67737262EoPHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13078A-67737262EoPHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13079A-67737262EoPHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13080A-67737262EoPHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13081A-67737262EoPHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13082A-67737262EoPHigh7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13086A-67737262EoPHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13087A-67737262EoPHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0
CVE-2017-13088A-67737262EoPHigh5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0


記事執筆:memn0ck


■関連リンク
・エスマックス(S-MAX)
・エスマックス(S-MAX) smaxjp on Twitter
・S-MAX - Facebookページ
・Android Security Bulletin-November 2017  |  Android Open Source Project
・Factory Images for Nexus and Pixel Devices  |  Google APIs for Android  |  Google Developers
・Full OTA Images for Nexus and Pixel Devices  |  Google APIs for Android  |  Google Developers

共有する

関連記事

【ケータイラボ】3Gハイスピード対応!超薄型ケータイ「709SC」

最近のSoftbank端末は薄型ケータイが多い。鞄に入れずポケットなどに入れて持ち運ぶユーザーとしては、薄くて軽い端末はかなりありがたい。今回発売された「709SC」も12.9mmといちばん薄いというわけではないが、かなり薄い端末である。…

【ケータイラボ】au初のテレビ電話対応機種「W47T」

持ち歩いてさっと使う携帯電話にテレビ電話なんて必要なのかなぁと最初は思ったものだ。カップルや親子同士などではアリなんかなぁなどと思ったりもしていた。しかし、知り合いの聴覚障害者がテレビ電話機能を利用して手話で会話してい…

【ケータイラボ】最大800kbpsまで対応!W-OAM typeG対応通信端末「AX530IN」

「WX530IN」は、PHS高度化通信規格であるW-OAMをさらに高速化した「W-OAM typeG」に初めて対応したカード端末。2007年春より発売の予定。「AX530IN」は、PHS端末としては初めてQAM(Quadrature Amplitude Modulation:直交振幅変調)に…

【ケータイラボ】際立つ薄さ約11.9mm!3Gハイスピード対応スリムケータイ「707SCII」

「707SCII」は、薄さ約11.9mmを実現したスリムケータイ。発売時期は今春を予定し、価格はオープンプライス。「707SCII」は、薄さ11.9mmのスリムボディーを採用したので、バッグやポケットに入れてもかさばらずに、スマートに持ち運べる…

【デジカメ調査室】乾電池対応!光学6倍ズームのコンパクトデジカメ「LZ7」

「LZ7」は、720万画素CCDを搭載した乾電池対応のコンパクトデジタルカメラで、2月9日より発売を開始する。カラーバリエーションは、シルバーのみ。価格は、オープンプライス。市場想定価格は、3万3,000円前後の見込み。外出先でも手…