ニュース
» 2015年08月14日 07時48分 UPDATE

Androidのパッチは不完全? Stagefrightの脆弱性対応で批判

「Stagefright」の重大な脆弱性を修正するためGoogleが配布したパッチは不完全だったとセキュリティ企業が指摘した。

[鈴木聖子,ITmedia]

 Androidのメディア再生エンジン「Stagefright」に重大な脆弱性が見つかった問題で、セキュリティ企業のExodusは8月13日、Googleが配布したパッチは不完全で、この脆弱性は依然として悪用される可能性があることが分かったと発表した。

 Stagefrightの脆弱性は2015年4月にGoogleに報告され、7月に情報が一般に公表された。Googleはメーカーやキャリア向けの修正パッチ提供に続いて、8月から始めた「Nexus」向けの月例OTA(無線経由)アップデートにも修正パッチを盛り込んでいた。

andrver01.jpg 8月上旬現在のバージョン別シェア。影響は最新の5.1(Lollipop)にもおよぶ

 しかしExodusの研究者が公開されたパッチを調べたところ、重大な問題があることが判明した。研究者はNexus 5に配信された更新版のファームウェアを使ってパッチを回避するMP4を作成し、クラッシュを誘発させられることを確認したという。

andrvalr01.jpg Nexus 5向けの最新パッチでは対応が不十分だという(Exodusより)

 同社は8月7日にGoogleにこの問題を報告したが、返答がなかったことからExodusのブログで公表に踏み切ったとしている。

 Exodusでは、Stagefrightの脆弱性に関するGoogleのこれまでの対応について、最初の報告から既に120日以上が経過しており、Google自らが定める90日の期限を越えたと指摘。「Googleは膨大な数のセキュリティ担当者を抱えていて、多くが他者のソフトウェアを調べて期限内にパッチを提供するよう責めたてている。もしGoogleが、自分たちの顧客に影響する脆弱性が公開されているのにそれに対応できないのであれば、われわれにどんな望みがあるというのか」と批判している。

 報道によれば、Googleは8月13日、この問題を修正するパッチはパートナー向けに配信済みで、9月の月例OTAアップデートでもNexus 4〜10とNexus Player向けのパッチを配信すると表明した。

Copyright© 2016 ITmedia, Inc. All Rights Reserved.

Loading

ピックアップコンテンツ

- PR -

注目のテーマ

マーケット解説

- PR -