3月のAndroidセキュリティ情報公開、Mediaフレームワークなどに深刻な脆弱性
Mediaフレームワークの脆弱性は、細工を施したファイルを送り付ける手口で任意の攻撃コードを実行される恐れがあり、特に危険度が高い。
米Googleは3月5日、Androidの月例セキュリティ情報を公開した。端末メーカーなどのパートナー向けに、「2018-03-01」「2018-03-05」の2本のセキュリティパッチレベルをリリースして、脆弱性に対処している。
今回のパッチで網羅した脆弱性については、少なくとも1カ月前にパートナー各社に通知済み。パートナーからそれぞれの端末向けに、パッチが配信される。
「2018-03-01」のパッチレベルでは、Mediaフレームワークとシステムに存在する計16件の脆弱性に対処した。Mediaフレームワークの脆弱性は6件のうち4件、システムの脆弱性は10件のうち4件が、危険度の最も高い「重大」(Critical)に分類されている。
特にMediaフレームワークの脆弱性は、悪用されれば、離れた場所にいる攻撃者が細工を施したファイルを送り付けることによって、特権で任意のコードを実行できてしまう恐れがあり、特に危険度が高い。
一方、「2018-03-05」のパッチレベルでは、カーネルコンポーネント、NVIDIAコンポーネント、Qualcommコンポーネント、およびQualcommクローズドソースコンポーネントの脆弱性に対処している。Qualcommコンポーネントの脆弱性は3件が「重大」に分類されているが、このうちクローズドソースコンポーネントの脆弱性については、Qualcommのセキュリティ情報で詳細を公表するとしている。
Googleによると、今回新たに見つかった脆弱性が悪用されたという報告は、現時点で入っていないという。
関連記事
- Google、Androidの月例セキュリティ情報を公開 計26件の脆弱性を修正
MediaフレームワークやQualcommコンポーネントなどに存在する重大な脆弱性が修正された。 - Android脆弱性発見者への賞金、最難関の脆弱性は20万ドルに
最高額の賞金が設定されている脆弱性については、過去2年の間、該当者がいなかったことから、賞金の額を一挙に引き上げた。 - スノーデン氏、Android端末をセキュリティ監視ツールに変えるアプリ「Haven」をβリリース
米連邦政府の機密情報を暴露したエドワード・スノーデン氏が、安価なAndroid端末をセキュリティツールに変えるアプリ「Haven: Keep Watch」のβ版を公開した。端末のカメラやセンサーを利用して周囲の変化を感知し、メインで使っているスマートフォン(Android/iPhone)に暗号化した情報をプッシュ通知する。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.