限定的な標的型攻撃に悪用されている脆弱性も ～Androidの2021年11月セキュリティ更新

Androidの月例セキュリティ情報

　Androidの月例セキュリティ情報が、11月1日に発表された。今回アナウンスされたセキュリティ情報の内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。

　今月のセキュリティパッチは、通例の「2021-11-01」「2021-11-05」に加え、「2021-11-06」の3本建てとなっている。「Android 10」以降を搭載したデバイスはセキュリティアップデートに加え、「GooglePlay」システムのアップデートを受け取る場合があるので注意したい。

セキュリティ パッチレベル「2021-11-01」

　「2021-11-01」は、対応に時間のかかるカーネルコンポーネントや特定ベンダー向けの一部修正を省いたサブセット。Androidパートナーが迅速にユーザーへアップデートを提供できるよう、あえて分割されている。

　今月はフレームワークで8件、メディアフレームワークで2件、システムで8件の脆弱性が対処された。システムで発見された任意コード実行の問題「CVE-2021-0918」「CVE-2021-0930」は深刻度が最高の「Critical」と評価されており、警戒が必要。リリースされたばかりの「Android 12」にも影響する。

　また、フレームワークにおける情報漏洩（CVE-2021-0653）、メディアフレームワークにおける情報漏洩（CVE-2021-0650）、システムにおける特権昇格（CVE-2021-0649）は「GooglePlay」システムのアップデート（Project Mainline）にも含まれる。

セキュリティ パッチレベル「2021-11-05」

　「2021-11-05」では、「2021-11-01」での修正に加え、カーネルコンポーネントで3件、Android TVで2件、MediaTekのコンポーネントで1件の問題が対処された。Qualcommのクローズドソースコンポーネントでも深刻度「Critical」の問題を含む多数の脆弱性が修正されている。

セキュリティ パッチレベル「2021-11-06」

　「2021-11-06」では「2021-11-01」「2021-11-05」での修正に加え、カーネルにおける特権昇格の問題（CVE-2021-1048）が解決されている。この脆弱性は限定的な標的型攻撃に悪用されている兆候があり、警戒が必要。パッチが提供されている場合は、できるだけ早めの適用をお勧めする。