Google、Nexus向け月例OTAパッチ公開 30件の脆弱性を修正
Androidのメディア処理ライブラリ「libstagefright」などに存在する計30件の脆弱性が修正された。ソースコードパッチもAndroid Open Source Project(AOSP)にリリースされる予定。
米Googleは10月6日、Androidの深刻な脆弱性に対処する月例セキュリティアップデートをNexus向けにOTA(無線経由)で配信した。セキュリティ企業のZimperiumが指摘していたメディア処理ライブラリの脆弱性「Stagefright 2.0」などを修正している。
Nexusのセキュリティ情報によると、今回のアップデートでは計30件の脆弱性を修正した。このうちメディア処理ライブラリの「libstagefright」では15件、「libutils」では2件の脆弱性がそれぞれ修正されており、危険度は最も高い「Critical」と位置付けている。
これら脆弱性を悪用された場合、メールやWeb閲覧、MMSなどを通じてメディアファイルが処理されると、リモートでコードを実行される恐れがある。現時点で悪用が出回っているとの報告は入っていないという。
この他にもSonivoxやSkia、libFLACに存在するリモートコード実行の脆弱性、KeyStoreやMedia Player、Android Runtime、Mediaserver、Secure Element Evaluation Kitに存在する権限昇格の脆弱性などが修正された。
脆弱性についてはパートナー各社にも9月10日までに告知済みだといい、ソースコードパッチは48時間以内にAndroid Open Source Project(AOSP)にリリースするとしている。
Android 6.0(Marshmallow)にも影響する脆弱性もある関連記事
Androidに「Stagefright 2.0」の脆弱性、また10億台に影響
細工を施したMP3やMP4を使って任意のコードを実行される恐れがある。影響はバージョン5(Lollipop)までのAndroidを搭載した10億台あまりの端末に及ぶと伝えられている。
Google、Nexus端末への月例パッチ配信を表明 Samsungも対応
Googleは今回から、「Nexus」向けにセキュリティに重点を置いたOTAアップデートを毎月配信する。Samsungもほぼ月に1回の頻度でアップデートを定期的に配信すると表明した。
Androidの重大な脆弱性「Stagefright」、研究者が実証コードを公開
コンセプト実証コードではStagefrightの脆弱性を突いて、ユーザーが何も操作しなくても攻撃者がリモートでコードを実行できる。
Androidのパッチは不完全? Stagefrightの脆弱性対応で批判
「Stagefright」の重大な脆弱性を修正するためGoogleが配布したパッチは不完全だったとセキュリティ企業が指摘した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
人気記事ランキング
- 生成AIは2025年には“オワコン”か? 投資の先細りを後押しする「ある問題」
- 江崎グリコ、基幹システムの切り替え失敗によって出荷や業務が一時停止
- 「Copilot for Securityを使ってみた」 セキュリティ担当者が感じた4つのメリットと課題
- Microsoft DefenderとKaspersky EDRに“完全解決困難”な脆弱性 マルウェア検出機能を悪用
- 「欧州 AI法」がついに成立 罰金「50億円超」を回避するためのポイントは?
- 「プロセスマイニング」が社内システムのポテンシャルを引き出す理由
- 「SAPのUXをガラッと変える」 AIアシスタントJouleの全体像とは?
- “生成AI依存”が問題になり始めている 活用できないどころか顧客離れになるかも?
- 日本企業は従業員を“信頼しすぎ”? 情報漏えいのリスクと現状をProofpointが調査
- 検出回避を狙う攻撃者の動きは加速、防御者がやるべきことは Mandiantが調査を公開
ITmediaはアイティメディア株式会社の登録商標です。