Mediaserverなどに存在する極めて深刻な脆弱性を修正したほか、10月に発覚した「Dirty COW」と呼ばれるLinuxカーネルの脆弱性にも対処した。
米Googleは11月7日、Androidの月例セキュリティ情報を公開した。端末メーカーなどのパートナーには2016年10月20日までに告知し、PixelやNexusなどGoogleの端末向けにはOTA(無線経由)でパッチを配信。2016年11月6日以降のセキュリティパッチレベルで全ての脆弱性が修正される。
今回のセキュリティパッチレベルは3種類に分けて公開された。このうち「2016-11-01」では計28件の脆弱性を修正。中でも「Mediaserverにおけるリモートコード実行の脆弱性」と「libzipfileにおける権限昇格の脆弱性」の2件は、危険度がGoogleの4段階評価で最も高い「Critical」に分類されている。
Mediaserverなどの脆弱性は、悪用されればメールやWeb、MMSなどを使ってメディアファイルを処理させる手口でリモートからコードを実行される恐れがあり、特に危険度が高い。
一方、「2016-11-05」のセキュリティパッチレベルでは、「Qualcommの暗号ドライバにおけるリモートコード実行の脆弱性」のほか、カーネルファイルシステムやカーネルUSBドライバなどに存在する権限昇格の脆弱性、NVIDIA GPUドライバの権限昇格の脆弱性など21件が「Critical」に分類されている。
さらに今回は、「Dirty COW」と呼ばれるLinuxカーネルの脆弱性(CVE-2016-5195)が10月に発覚したことを受け、捕捉的セキュリティパッチレベル「2016-11-06」でこの問題に対処した。
Googleによると、今回修正された脆弱性が実際に悪用されているとの報告は現時点で入っていないという。
Copyright © ITmedia, Inc. All Rights Reserved.