Google、Nexus向け月例OTAパッチ公開 30件の脆弱性を修正
Androidのメディア処理ライブラリ「libstagefright」などに存在する計30件の脆弱性が修正された。ソースコードパッチもAndroid Open Source Project(AOSP)にリリースされる予定。
米Googleは10月6日、Androidの深刻な脆弱性に対処する月例セキュリティアップデートをNexus向けにOTA(無線経由)で配信した。セキュリティ企業のZimperiumが指摘していたメディア処理ライブラリの脆弱性「Stagefright 2.0」などを修正している。
Nexusのセキュリティ情報によると、今回のアップデートでは計30件の脆弱性を修正した。このうちメディア処理ライブラリの「libstagefright」では15件、「libutils」では2件の脆弱性がそれぞれ修正されており、危険度は最も高い「Critical」と位置付けている。
これら脆弱性を悪用された場合、メールやWeb閲覧、MMSなどを通じてメディアファイルが処理されると、リモートでコードを実行される恐れがある。現時点で悪用が出回っているとの報告は入っていないという。
この他にもSonivoxやSkia、libFLACに存在するリモートコード実行の脆弱性、KeyStoreやMedia Player、Android Runtime、Mediaserver、Secure Element Evaluation Kitに存在する権限昇格の脆弱性などが修正された。
脆弱性についてはパートナー各社にも9月10日までに告知済みだといい、ソースコードパッチは48時間以内にAndroid Open Source Project(AOSP)にリリースするとしている。
Android 6.0(Marshmallow)にも影響する脆弱性もある関連記事
Androidに「Stagefright 2.0」の脆弱性、また10億台に影響
細工を施したMP3やMP4を使って任意のコードを実行される恐れがある。影響はバージョン5(Lollipop)までのAndroidを搭載した10億台あまりの端末に及ぶと伝えられている。
Google、Nexus端末への月例パッチ配信を表明 Samsungも対応
Googleは今回から、「Nexus」向けにセキュリティに重点を置いたOTAアップデートを毎月配信する。Samsungもほぼ月に1回の頻度でアップデートを定期的に配信すると表明した。
Androidの重大な脆弱性「Stagefright」、研究者が実証コードを公開
コンセプト実証コードではStagefrightの脆弱性を突いて、ユーザーが何も操作しなくても攻撃者がリモートでコードを実行できる。
Androidのパッチは不完全? Stagefrightの脆弱性対応で批判
「Stagefright」の重大な脆弱性を修正するためGoogleが配布したパッチは不完全だったとセキュリティ企業が指摘した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
人気記事ランキング
- 「VPNではサイバー脅威に対抗できない」 では今後、採用すべき対策は?
- なぜIT部門は市民開発を嫌うのか? 「“野良化”回避」より重視すべきこと
- 何としても情報を届けたい 三井住友銀行の“ギリギリを攻めた注意喚起”
- 主流のマルウェアが使う検知回避テクニックとは? 対抗するための5つの防御策
- Windows 11が「MCP」対応って何がすごい? 本格的なAIエージェント時代が見える
- NISTが脆弱性管理の新指標「LEV」を提案 EPSSやKEVより信頼できる?
- 「もう手動での対応は無理……」 Linux関連の脆弱性は前年比で967%増加
- 中国プリンタメーカーが配布した公式ソフトにマルウェア 約半年間公開か
- なぜ今「情シス応援」なのか? Japan IT Weekの新たな動きを追う
- 614社がサイバー保険に加入できずランサムウェア被害に 調査で判明した悲しい実態
ITmediaはアイティメディア株式会社の登録商標です。