ニュース

「QuadRooter」の2件を含む55件の脆弱性を修正、Androidの月例セキュリティ情報公開

 Googleは6日、Androidの月例セキュリティ情報を公開した。Nexusシリーズ向けには、セキュリティアップデートを含むファクトリーイメージがOTAで配信される。発売から18カ月以内のAndroid One端末やGoogle Play Edition端末には、2週間以内にアップデートが提供される予定とのこと。

 端末メーカーなどのパートナー各社には8月5日までに通知されており、48時間以内にAndroidのオープンソースプロジェクト(AOSP)リポジトリにアップデートのソースコードが提供される予定。

 Check Point Software Technologiesが8月7日に公表した「QuadRooter」と呼ばれるQualcommチップセット用ドライバーに存在する4件の脆弱性は、9億台のAndroid端末に影響があるもの。未修正だったのは、「CVE-2016-2059」(深刻度:High)と「CVE-2016-5340」(深刻度:Critical)の2件だった。

 「CVE-2016-2059」は、IPCルーターカーネルモジュールにおける権限を取得される脆弱性。ポートがクライアントのポートであることを検証しないため、権限を取得される、またはサービス運用妨害(競合状態およびリスト破損)状態にされるもの。Linux Kernel 3.xが対象システムとなっているが、Android OSも影響を受けるもの。

 一方、「CVE-2016-5340」は、Qualcomm GPUドライバーにおける権限を取得されるもの。いずれも攻撃者によりrootを取得され、端末がフルコントロールされたり、端末内のデータなどに無制限にアクセスされる恐れがあるもの。

 今回発表されたセキュリティパッチは、最も危険度の高い“Critical”2件を含む25件の脆弱性を修正する「2016-09-01」、“Critical”4件を含む28件の脆弱性を修正する「2016-09-05」、QuadRooterに含まれる2件の脆弱性を修正する「2016-09-06」の3つに分かれている。

 2016-09-01のうち、Criticalとされる脆弱性は、LibUtilsに存在するリモートから任意のコードが実行される「CVE-2016-3861」と、Mediaserverに存在するリモートから任意のコードが実行される「CVE-2016-3862」。

 2016-09-05のうち、Criticalとされるのは、いずれもカーネルに関する権限昇格の脆弱性で、「CVE-2014-9529」と「CVE-2016-4470」はカーネルのセキュリティサブシステム、「CVE-2013-7446」はカーネルネットワーキングサブシステム、「CVE-2016-3134」はネットフィルターサブシステム、「CVE-2016-3951」はUSBドライバーが対象となる。

 Googleでは今回提供するセキュリティパッチについて、メディアファイルを処理する際に、メール、ウェブブラウズ、MMSなど複数の方法により、影響を受けたデバイス上のリモートでコードが実行される可能性がある重大なセキュリティ上の脆弱性を修正するものとしている。