Google、Androidの月例セキュリティ情報公開 新たなメディア処理の脆弱性も

「Mediaserver」の脆弱性は、メールやWeb、MMSなどを使ってメディアファイルを処理させる手口でコードを実行される恐れがある。

» 2016年03月08日 07時17分 公開
[鈴木聖子ITmedia]
Nexusシリーズ

 米Googleは3月7日、Androidの月例セキュリティ情報を公開し、多数の深刻な脆弱性に対処した。Nexus向けのセキュリティアップデートはOTA(無線経由)で同日公開。パートナー各社には2月1日までに通知され、LMY49H以降のビルド、およびセキュリティパッチレベル2016年3月1日以降のAndroid Marshmallowで脆弱性を修正している。

 Googleのセキュリティ情報によると、今回のアップデートでは計19件の脆弱性に対処した。このうち7件は危険度が4段階評価で最も高い「重大」(Critical)に分類されている。

 中でも「Mediaserver」と「libvpx」の脆弱性は、悪用されればリモートでコードを実行される恐れがある。Mediaserverでは過去にも深刻な脆弱性が相次いで発覚しており、メールやWeb、MMSなどを使ってメディアファイルを処理させる手口で悪用される可能性があることから危険性が大きい。

 また、「Conscrypt」「Qualcommパフォーマンスコンポーネント」「MediaTek Wi-Fiドライバ」「Keyringコンポーネント」に存在する権限昇格の脆弱性も、それぞれ「重大」に分類された。

 残る12件の内訳は、危険度「高」が10件、「中」が2件。この中にはMediaserverの権限昇格や情報流出の脆弱性、やはりメディア処理に関連する「libstagefright」の情報流出の脆弱性なども含まれる。

2016年3月のアップデートで修正された脆弱性

 今回のアップデートで対処した脆弱性について、現時点では実際に悪用された事例は報告されていないとGoogleは説明している。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ

あなたにおすすめの記事PR