Androidに「Stagefright 2.0」の脆弱性、また10億台に影響
細工を施したMP3やMP4を使って任意のコードを実行される恐れがある。影響はバージョン5(Lollipop)までのAndroidを搭載した10億台あまりの端末に及ぶと伝えられている。
Androidのメディア処理ライブラリ「Stagefright」に極めて重大な脆弱性が見つかった問題に関連して、セキュリティ企業のZimperiumは10月1日、別のメディア処理ライブラリに新たに2件の脆弱性を発見したと伝えた。細工を施したMP3やMP4のビデオファイルを使って攻撃者に任意のコードを実行される可能性を指摘している。
Zimperiumでは今回見つかった脆弱性を「Stagefright 2.0」と命名した。影響はバージョン5(Lollipop)までのAndroidを搭載した10億台あまりの端末に及ぶと伝えられている。
同社によれば、2件の脆弱性のうち「libutils」というライブラリの脆弱性(CVE-2015-6602)は、2008年にリリースされたバージョン1.0以降のほぼ全てのAndroidが影響を受ける。
もう1件の脆弱性は「libstagefright」ライブラリに存在していて、CVE-2015-6602と組み合わせれば、バージョン5.0以降のAndroidでも悪用できることが分かったという。
悪用された場合、細工を施したMP3やMP4のビデオファイルを処理することによって任意のコードを実行される恐れがある。問題はファイル内のメタデータ処理に起因していることから、音楽やビデオのファイルをプレビューさせるだけで悪用できてしまうという。
Stagefrightの脆弱性ではユーザーがMMSを受信しただけでAndroid端末を乗っ取られる可能性があったことから、Googleは「Hangouts」と「Messenger」のアプリを更新し、MMSを使った攻撃を阻止する対策を講じた。
このため新たな脆弱性は、Webブラウザ経由の攻撃に利用される公算が大きいとZimperiumは指摘する。フィッシング詐欺や不正な広告を使って攻撃サイトにユーザーを誘導する手口、通信に割り込む中間者攻撃の手口、脆弱性のあるライブラリを使ったメディア再生アプリやインスタントメッセージングアプリを利用する手口などが考えられるとしている。
GoogleのAndroidセキュリティチームには8月15日に連絡を取り、Googleも直ちに対応したという。Zimperiumはベンダーに対し、できるだけ早くAndroidの更新版をリリースして脆弱性を修正するよう促している。
Nexus向けのパッチはGoogleが10月5日に配信する月例セキュリティアップデートで提供する予定と伝えられている。
関連記事
Androidに極めて深刻な脆弱性、MMSで端末制御可能に
Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。
Androidの重大な脆弱性「Stagefright」、研究者が実証コードを公開
コンセプト実証コードではStagefrightの脆弱性を突いて、ユーザーが何も操作しなくても攻撃者がリモートでコードを実行できる。- Androidに極めて深刻な脆弱性、MMSで端末制御可能に
Googleは修正のためのパッチをメーカーやキャリア向けに提供済みだが、ユーザーへの配信は各社に任されている。 
Androidのパッチは不完全? Stagefrightの脆弱性対応で批判
「Stagefright」の重大な脆弱性を修正するためGoogleが配布したパッチは不完全だったとセキュリティ企業が指摘した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.