ニュース
7月のAndroidセキュリティ情報公開、メディアフレームワークに深刻な脆弱性
メディアフレームワークの脆弱性は、10件が「Critical(重大)」に分類。リモートからの任意のコード実行に利用される恐れがある。
米Googleは7月5日、Androidの月例セキュリティ情報を公開し、多数の深刻な脆弱(ぜいじゃく)性に対処したことを明らかにした。2017年7月5日以降のセキュリティパッチレベルで全ての問題が修正される。
Googleによると、端末メーカーなどのパートナー向けには、少なくとも1カ月前に通知済み。「Pixel」や「Nexus」などのGoogle端末向けにはOTA(無線経由)でアップデートを配信している。
Androidセキュリティ情報では、7月の月例パッチとして「2017-07-01」「2017-07-05」の2本が公開された。「2017-07-01」ではランタイム、フレームワーク、ライブラリ、メディアフレームワーク、システムUIの脆弱性を修正している。
特にメディアフレームワークの脆弱性は、10件がGoogleの4段階評価で危険度が最も高い「Critical(重大)」に分類されている。悪用されればリモートの攻撃者が細工を施したファイルを使って、特権で任意のコードを実行できてしまう恐れがある。
「2017-07-05」ではBroadcomやHTC、MediaTek、NVIDIA、Qualcommなどのコンポーネントや、カーネルコンポーネントの脆弱性を修正した。
今回新たに報告された脆弱性の悪用や、ユーザーに対する攻撃の横行は確認されていないとしている。
関連記事
- Android脆弱性発見者への賞金、最難関の脆弱性は20万ドルに
最高額の賞金が設定されている脆弱性については、過去2年の間、該当者がいなかったことから、賞金の額を一挙に引き上げた。 - Androidの月例セキュリティ情報を公開 MediaserverやGIFLIBに重大な脆弱性
Androidの5月の月例パッチは「2017-05-01」「2017-05-05」の2本で構成され、2017年5月5日以降のセキュリティパッチレベルで全ての問題が修正される。 - Google、Androidの月例セキュリティ情報を公開
Mediaserverに存在する6件の脆弱(ぜいじゃく)性は、危険度が「重大」に分類され、悪用されればリモートでコードを実行される恐れがある。 - Google、Androidの月例セキュリティパッチ公開、多数の深刻な脆弱性を修正
OpenSSLやBoringSSL、Mediaserverに深刻な脆弱性が存在し、メールやWeb閲覧、MMS経由で不正なメディアファイルを処理させる手口でリモートからコードを実行される恐れがある。 - Android端末の約半数、2016年中に更新されず
Googleの年次報告書によると、2016年末の時点で使われていた端末のうち、同年中にプラットフォームセキュリティアップデートを受け取っていなかった端末は約半数に上った。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.