ニュース
限定的な標的型攻撃に悪用されている脆弱性も ~Androidの2021年11月セキュリティ更新
システムコンポーネントやQualcommコンポーネントに深刻度「Critical」の問題
2021年11月2日 11:00
Androidの月例セキュリティ情報が、11月1日に発表された。今回アナウンスされたセキュリティ情報の内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。
今月のセキュリティパッチは、通例の「2021-11-01」「2021-11-05」に加え、「2021-11-06」の3本建てとなっている。「Android 10」以降を搭載したデバイスはセキュリティアップデートに加え、「GooglePlay」システムのアップデートを受け取る場合があるので注意したい。
セキュリティ パッチレベル「2021-11-01」
「2021-11-01」は、対応に時間のかかるカーネルコンポーネントや特定ベンダー向けの一部修正を省いたサブセット。Androidパートナーが迅速にユーザーへアップデートを提供できるよう、あえて分割されている。
今月はフレームワークで8件、メディアフレームワークで2件、システムで8件の脆弱性が対処された。システムで発見された任意コード実行の問題「CVE-2021-0918」「CVE-2021-0930」は深刻度が最高の「Critical」と評価されており、警戒が必要。リリースされたばかりの「Android 12」にも影響する。
また、フレームワークにおける情報漏洩(CVE-2021-0653)、メディアフレームワークにおける情報漏洩(CVE-2021-0650)、システムにおける特権昇格(CVE-2021-0649)は「GooglePlay」システムのアップデート(Project Mainline)にも含まれる。
セキュリティ パッチレベル「2021-11-05」
「2021-11-05」では、「2021-11-01」での修正に加え、カーネルコンポーネントで3件、Android TVで2件、MediaTekのコンポーネントで1件の問題が対処された。Qualcommのクローズドソースコンポーネントでも深刻度「Critical」の問題を含む多数の脆弱性が修正されている。
セキュリティ パッチレベル「2021-11-06」
「2021-11-06」では「2021-11-01」「2021-11-05」での修正に加え、カーネルにおける特権昇格の問題(CVE-2021-1048)が解決されている。この脆弱性は限定的な標的型攻撃に悪用されている兆候があり、警戒が必要。パッチが提供されている場合は、できるだけ早めの適用をお勧めする。