メディアフレームワークやシステムなどに、深刻な脆弱(ぜいじゃく)性が存在する。
米Googleは7月2日、Androidの月例セキュリティ情報を公開し、メディアフレームワークなどの深刻な脆弱(ぜいじゃく)性に対処したことを明らかにした。
端末のメーカーや携帯電話会社などのパートナーには、少なくとも1カ月前に通知済み。各社からユーザー向けに、脆弱性修正のためのセキュリティパッチが配信される。
脆弱性に対処するセキュリティパッチは「2018-07-01」と「2018-07-05」の2本が公開された。今回新たに報告された問題が悪用されたり、ユーザーに対する攻撃が横行したりしているとの報告は入っていないという。
「2018-07-01」のセキュリティパッチでは、フレームワークとメディアフレームワーク、及びシステムに存在する11件の脆弱性に対処した。このうち3件は、Googleの4段階評価で危険度が最も高い「Critical」に、残る8件は上から2番目の「High」に分類している。
中でもメディアフレームワークの脆弱性は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがあり、特に危険度が高い。
これらの脆弱性は、6.0〜8.1までのバージョンで修正され、Android Open Source Project(AOSP)リポジトリでソースコードパッチを公開する。
一方、「2018-07-05」のパッチでは、カーネルコンポーネントとQualcommコンポーネントの脆弱性に対処した。Qualcommコンポーネントの脆弱性のうちの1件については「Critical」に分類。近くにいる攻撃者が細工を施したファイルを使って任意のコードを実行できてしまう可能性などが指摘されている。
Copyright © ITmedia, Inc. All Rights Reserved.