Google、Android向けパッチを開発、Linuxの未解決の脆弱性に対応

Googleの担当者は「影響を受けるAndroidデバイスは当初の報告よりもずっと少ないはず」との見方を示す。

» 2016年01月22日 07時22分 公開
[鈴木聖子ITmedia]

 Linuxカーネルに未解決の脆弱性が発見された問題で、米GoogleのAndroidセキュリティチームは1月21日、この問題を修正するAndroid向けパッチの準備が整ったと発表した。

 脆弱性はLinuxカーネルでセキュリティデータや認証鍵、暗号鍵といったデータの保持やキャッシュに使われる「キーリング」に存在していて、悪用されればローカルユーザーにroot特権を取得されたりコードを実行されたりする可能性が指摘されている。

 Googleはこの問題の発覚を受けてAndroid向けのパッチを開発し、オープンソースに公開するとともに、パートナー各社にも提供した。2016年3月1日以降のセキュリティパッチレベルで全端末への配信を必須としている。

Googleエンジニアのエイドリアン・ラドウィグ氏のコメント(Google+より)

 脆弱性を発見したイスラエルのセキュリティ企業Perception Pointでは、Androidデバイスの66%がこの問題を受けると推定していた。一方、GoogleのAndroidセキュリティ担当エンジニア、エイドリアン・ラドウィグ氏は、「この問題はAndroidセキュリティチームへの事前通告なしに公開された」と前置きした上で、「影響を受けるAndroidデバイスは当初の報告よりもずっと少ないはず」と反論している。

 同氏によれば、Nexusではこの脆弱性がサードパーティーアプリによって悪用される恐れはないと思われる。また、Android 5.0以降ではセキュリティが強化された「SELinux」を採用しているためデバイスは保護されると同氏は主張。Android 4.4までのバージョンの多くは、Linuxカーネル3.8で導入された脆弱性は含まれないと説明している。

Androidのバージョン別シェア

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ