米Googleは10月6日、Androidの深刻な脆弱性に対処する月例セキュリティアップデートをNexus向けにOTA(無線経由)で配信した。セキュリティ企業のZimperiumが指摘していたメディア処理ライブラリの脆弱性「Stagefright 2.0」などを修正している。
Nexusのセキュリティ情報によると、今回のアップデートでは計30件の脆弱性を修正した。このうちメディア処理ライブラリの「libstagefright」では15件、「libutils」では2件の脆弱性がそれぞれ修正されており、危険度は最も高い「Critical」と位置付けている。
これら脆弱性を悪用された場合、メールやWeb閲覧、MMSなどを通じてメディアファイルが処理されると、リモートでコードを実行される恐れがある。現時点で悪用が出回っているとの報告は入っていないという。
この他にもSonivoxやSkia、libFLACに存在するリモートコード実行の脆弱性、KeyStoreやMedia Player、Android Runtime、Mediaserver、Secure Element Evaluation Kitに存在する権限昇格の脆弱性などが修正された。
脆弱性についてはパートナー各社にも9月10日までに告知済みだといい、ソースコードパッチは48時間以内にAndroid Open Source Project(AOSP)にリリースするとしている。
Copyright © ITmedia, Inc. All Rights Reserved.