今年最初のAndroidセキュリティパッチが公表 ～順次展開へ

Androidの月例セキュリティ情報

　米Googleは1月4日（現地時間）、Androidの月例セキュリティ情報を発表した。今回公表されたセキュリティ情報の内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。

　今月のセキュリティパッチは通例に従い「2022-01-01」と「2022-01-05」の2本立てとなっており、過去に実施された脆弱性の修正も含まれている。今回新たに修正された脆弱性のなかでもっとも深刻なのはAndroidランタイムコンポーネントにおける脆弱性で、ローカルの攻撃者が追加の権限にアクセスするためにメモリ制限を回避できる可能性があるという。

セキュリティ パッチレベル「2022-01-01」

　「2022-01-01」は、対応に時間のかかるカーネルコンポーネントや特定ベンダー向けの一部修正を省いたサブセット。Androidパートナーが迅速にユーザーへアップデートを提供できるよう、あえて分割されている。フレームワークで4件、メディアフレームワークで1件、システムで11件の脆弱性が修正された。

　深刻度が「Critical」と評価された問題はなく、最大深刻度は「High」となっている。「GooglePlay」システム経由でも配信されたパッチもない。

セキュリティ パッチレベル「2022-01-05」

　「2022-01-05」は、すべての脆弱性修正を含んだ完全版。「2022-01-01」での修正に加え、Androidランタイムで1件、カーネルコンポーネントで3件、カーネルLTSで1件、MediaTekのコンポーネントで5件、Unisocのコンポーネントで1件、Qualcommのコンポーネントで2件の脆弱性が修正された。最大深刻度は「Hight」。

　また、クアルコムのクローズドソースコンポーネントでも「Critical」と評価された脆弱性1件を含む多くの問題が修正されている。