Google、Nexus向け月例OTAパッチ公開 30件の脆弱性を修正
Androidのメディア処理ライブラリ「libstagefright」などに存在する計30件の脆弱性が修正された。ソースコードパッチもAndroid Open Source Project(AOSP)にリリースされる予定。
米Googleは10月6日、Androidの深刻な脆弱性に対処する月例セキュリティアップデートをNexus向けにOTA(無線経由)で配信した。セキュリティ企業のZimperiumが指摘していたメディア処理ライブラリの脆弱性「Stagefright 2.0」などを修正している。
Nexusのセキュリティ情報によると、今回のアップデートでは計30件の脆弱性を修正した。このうちメディア処理ライブラリの「libstagefright」では15件、「libutils」では2件の脆弱性がそれぞれ修正されており、危険度は最も高い「Critical」と位置付けている。
これら脆弱性を悪用された場合、メールやWeb閲覧、MMSなどを通じてメディアファイルが処理されると、リモートでコードを実行される恐れがある。現時点で悪用が出回っているとの報告は入っていないという。
この他にもSonivoxやSkia、libFLACに存在するリモートコード実行の脆弱性、KeyStoreやMedia Player、Android Runtime、Mediaserver、Secure Element Evaluation Kitに存在する権限昇格の脆弱性などが修正された。
脆弱性についてはパートナー各社にも9月10日までに告知済みだといい、ソースコードパッチは48時間以内にAndroid Open Source Project(AOSP)にリリースするとしている。
関連記事
- Androidに「Stagefright 2.0」の脆弱性、また10億台に影響
細工を施したMP3やMP4を使って任意のコードを実行される恐れがある。影響はバージョン5(Lollipop)までのAndroidを搭載した10億台あまりの端末に及ぶと伝えられている。 - Google、Nexus端末への月例パッチ配信を表明 Samsungも対応
Googleは今回から、「Nexus」向けにセキュリティに重点を置いたOTAアップデートを毎月配信する。Samsungもほぼ月に1回の頻度でアップデートを定期的に配信すると表明した。 - Androidの重大な脆弱性「Stagefright」、研究者が実証コードを公開
コンセプト実証コードではStagefrightの脆弱性を突いて、ユーザーが何も操作しなくても攻撃者がリモートでコードを実行できる。 - Androidのパッチは不完全? Stagefrightの脆弱性対応で批判
「Stagefright」の重大な脆弱性を修正するためGoogleが配布したパッチは不完全だったとセキュリティ企業が指摘した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.