米Googleは7月2日、Androidの月例セキュリティ情報を公開し、メディアフレームワークなどの深刻な脆弱(ぜいじゃく)性に対処したことを明らかにした。
端末のメーカーや携帯電話会社などのパートナーには、少なくとも1カ月前に通知済み。各社からユーザー向けに、脆弱性修正のためのセキュリティパッチが配信される。
脆弱性に対処するセキュリティパッチは「2018-07-01」と「2018-07-05」の2本が公開された。今回新たに報告された問題が悪用されたり、ユーザーに対する攻撃が横行したりしているとの報告は入っていないという。
「2018-07-01」のセキュリティパッチでは、フレームワークとメディアフレームワーク、及びシステムに存在する11件の脆弱性に対処した。このうち3件は、Googleの4段階評価で危険度が最も高い「Critical」に、残る8件は上から2番目の「High」に分類している。
中でもメディアフレームワークの脆弱性は、リモートの攻撃者が細工を施したファイルを使って特権で任意のコードを実行できてしまう恐れがあり、特に危険度が高い。
これらの脆弱性は、6.0〜8.1までのバージョンで修正され、Android Open Source Project(AOSP)リポジトリでソースコードパッチを公開する。
一方、「2018-07-05」のパッチでは、カーネルコンポーネントとQualcommコンポーネントの脆弱性に対処した。Qualcommコンポーネントの脆弱性のうちの1件については「Critical」に分類。近くにいる攻撃者が細工を施したファイルを使って任意のコードを実行できてしまう可能性などが指摘されている。
関連記事
- Androidに存在するメモリ関連の脆弱性「RAMpage」、重要情報流出の恐れ
RAMpageは「Rowhammer」と呼ばれるDRAMの設計上の問題に関連して、欧州や米国の研究チームが発見した脆弱性だ。 - 「Firefox 61」公開 18件の脆弱性に対処、FTPリソースの読み込みブロックも
Firefox 61では、HTTP(S)ページによるFTPサブリソースの読み込みをブロックする措置が実装された。 - Intelプロセッサに新たな脆弱性、投機的実行機能に関連
脆弱性は、Coreベースプロセッサの「Lazy FP state restore」という機能に存在する。「Spectre」「Meltdown」と同様に、投機的実行の仕組みに関連しているという。 - Google、デスクトップ向け「Chrome 67」の脆弱性を修正
脆弱性を修正した「Chrome 67.0.3396.87」が、Windows、Mac、Linux向けにリリースされた。 - Microsoft、月例更新プログラム公開 IEやWindowsに深刻な脆弱性
6月の更新プログラムでは計50件の脆弱性が修正された。うち11件が「緊急」に分類されている。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.