Androidに致命的な脆弱性 ～Google、12月のセキュリティ情報を発表

Androidの月例セキュリティ情報

　米Googleは12月6日（現地時間）、Androidの月例セキュリティ情報を発表した。今回公表されたセキュリティ情報の内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。

　今月のセキュリティパッチは通例に従い「2021-12-01」と「2021-12-05」の2本立てとなっており、過去に実施された脆弱性の修正も含まれている。今回新たに修正された脆弱性のなかでもっとも深刻なのはメディアフレームワークコンポーネントで発見されたリモート情報漏洩の脆弱性で、追加の実行権限を必要とせずに悪用される可能性がある。

セキュリティ パッチレベル「2021-12-01」

　「2021-12-01」は、対応に時間のかかるカーネルコンポーネントや特定ベンダー向けの一部修正を省いたサブセット。Androidパートナーが迅速にユーザーへアップデートを提供できるよう、あえて分割されている。フレームワークで3件、メディアフレームワークで2件、システムで10件の脆弱性が修正された。

　なかでも、メディアフレームワークにおける脆弱性（CVE-2021-0967）には注意。前述の通りリモート情報漏洩の問題がある（深刻度「High」）ほか、「Android 9」ではリモートコード実行に悪用される可能性もある（深刻度「Critical」）。

　また、システムでも深刻度が「Critical」と評価された脆弱性が2件修正されているので注意したい（CVE-2021-0968、CVE-2021-0956）。

セキュリティ パッチレベル「2021-12-05」

　「2021-12-05」は、すべての脆弱性修正を含んだ完全版。「2021-12-01」での修正に加え、メディアフレームワークで1件、カーネルコンポーネントで3件、MediaTekのコンポーネントで2件、クアルコムのコンポーネントで3件の脆弱性が修正された。

　また、クアルコムのクローズドソースコンポーネントでも「Critical」と評価された3件の脆弱性を含む多くの問題が修正されている。

　なお、「CVE-2021-0967」など3件に対するパッチは「GooglePlay」システム経由でも配信される。