Google、Androidの月例セキュリティ情報公開 新たなメディア処理の脆弱性も
「Mediaserver」の脆弱性は、メールやWeb、MMSなどを使ってメディアファイルを処理させる手口でコードを実行される恐れがある。
米Googleは3月7日、Androidの月例セキュリティ情報を公開し、多数の深刻な脆弱性に対処した。Nexus向けのセキュリティアップデートはOTA(無線経由)で同日公開。パートナー各社には2月1日までに通知され、LMY49H以降のビルド、およびセキュリティパッチレベル2016年3月1日以降のAndroid Marshmallowで脆弱性を修正している。
Googleのセキュリティ情報によると、今回のアップデートでは計19件の脆弱性に対処した。このうち7件は危険度が4段階評価で最も高い「重大」(Critical)に分類されている。
中でも「Mediaserver」と「libvpx」の脆弱性は、悪用されればリモートでコードを実行される恐れがある。Mediaserverでは過去にも深刻な脆弱性が相次いで発覚しており、メールやWeb、MMSなどを使ってメディアファイルを処理させる手口で悪用される可能性があることから危険性が大きい。
また、「Conscrypt」「Qualcommパフォーマンスコンポーネント」「MediaTek Wi-Fiドライバ」「Keyringコンポーネント」に存在する権限昇格の脆弱性も、それぞれ「重大」に分類された。
残る12件の内訳は、危険度「高」が10件、「中」が2件。この中にはMediaserverの権限昇格や情報流出の脆弱性、やはりメディア処理に関連する「libstagefright」の情報流出の脆弱性なども含まれる。
今回のアップデートで対処した脆弱性について、現時点では実際に悪用された事例は報告されていないとGoogleは説明している。
関連記事
- Androidに新手のマルウェア、端末を遠隔操作される恐れ
SMS/MMSのリンクをクリックすると感染し、端末を制御されてデータを消去されてしまう可能性もあるという。 - Google、Androidの月例セキュリティ情報を公開 Nexus向けのパッチ配信
今回のアップデートではAndroidに存在する計13件の脆弱性に対処した。このうち7件は危険度が4段階で最も高い「Critical」に分類している。 - Google、Android向けパッチを開発、Linuxの未解決の脆弱性に対応
Googleの担当者は「影響を受けるAndroidデバイスは当初の報告よりもずっと少ないはず」との見方を示す。 - Linuxカーネルに脆弱性 PCやサーバ、Androidの大多数に影響
Linuxカーネルに2012年から存在していた脆弱性をセキュリティ企業が発見。Linux搭載のPCやサーバ数千万台と、Androidデバイスの66%が影響を受けるという。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.