Google、Androidの月例セキュリティ情報公開 多数の脆弱性を修正
Mediaフレームワークとシステムには、危険度が最も高い「重大」(Critical)の脆弱性が複数存在する。
米Googleは4月2日、Androidの月例セキュリティ情報を公開した。キャリアや端末メーカーなどのパートナーに提供した「2018-04-01」「2018-04-05」の2本のパッチを通じ、多数の脆弱性を修正している。
アップデートの対象となるのはAndroid 6.0〜8.1までのバージョン。「2018-02-05」以降のパッチレベルで全ての問題が修正される。脆弱性については、少なくとも1カ月前にパートナー各社に通知しており、ユーザーの端末向けにはキャリアなどを通じてパッチが配信される。
Androidセキュリティ情報によると、月例パッチのうち「2018-04-01」では、Androidランタイム、フレームワーク、Mediaフレームワーク、およびシステム関連の脆弱性に対処した。このうちMediaフレームワークとシステムには、危険度が最も高い「重大」(Critical)の脆弱性が複数存在する。
中でもMediaフレームワークの脆弱性は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがあり、最も危険が大きい。
一方、「2018-04-05」のパッチでは、BroadcomやQualcomm、カーネルコンポーネント関連の脆弱性を修正した。Qualcommについては、クローズドソースコンポーネントに存在する多数の脆弱性に対処した累積パッチが含まれる。
今回新たに報告された脆弱性が悪用されたり、攻撃が横行しているという報告は、現時点で入っていないという。
関連記事
- 3月のAndroidセキュリティ情報公開、Mediaフレームワークなどに深刻な脆弱性
Mediaフレームワークの脆弱性は、細工を施したファイルを送り付ける手口で任意の攻撃コードを実行される恐れがあり、特に危険度が高い。 - Google、Androidの月例セキュリティ情報を公開 計26件の脆弱性を修正
MediaフレームワークやQualcommコンポーネントなどに存在する重大な脆弱性が修正された。 - Android端末を踏み台にしたDDoS攻撃発生 Google Playに300本の不正アプリ
マルウェアを仕込んだアプリがGoogle Playで配信され、世界100カ国以上のAndroid端末が関わる大規模DDoS攻撃が発生した。 - Android脆弱性発見者への賞金、最難関の脆弱性は20万ドルに
最高額の賞金が設定されている脆弱性については、過去2年の間、該当者がいなかったことから、賞金の額を一挙に引き上げた。 - Android端末の情報を中国のサーバに送信、「問題ない」とメーカー反論
米国で販売されているBLU製Androidスマートフォンの一部モデルで、ユーザーの個人情報が許可なく中国のサーバに送信されていると、セキュリティ研究者が報告した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.