AppleInsiderスタッフ
· 1分で読めます
GoogleのAndroidモバイルOSに存在する、注目を集めたStagefrightの脆弱性を軽減するために設計された最初のソフトウェアパッチが不十分であったことを、あるセキュリティ研究者が発見し、さらに別のアップデートの発行につながった。
先週、セキュリティ専門家のジョーダン・グルスコヴニャク氏は、Stagefrightパッチの1つのバージョン(不正なMP4ファイルによって整数オーバーフローを引き起こすもの)が問題を完全に解決しておらず、新たな概念実証によって修正を回避できることを発見しました。Googleは8月7日にこの通知を受け、既に新たなアップデートの配信を開始しています。
「ユーザーを保護するために、すでにパートナーに修正プログラムを送信しており、Nexus 4/5/6/7/9/10およびNexus Playerは9月の月例セキュリティアップデートでOTAアップデートを受け取る予定です」とGoogleの広報担当者はThreatpostに語った。
米国の無線通信事業者も協力し、悪用可能なペイロードを含む MMS メッセージの送信をブロックする取り組みを行っている。
7月下旬に初めて公開されたStagefrightエクスプロイトは、Androidのメディア処理ライブラリのバグを悪用しています。この脆弱性により、攻撃者はAndroidデバイスで受信または開くと任意のコードを実行する悪意のあるMMSメッセージを作成できます。
「攻撃者はあなたの携帯電話番号さえあれば、MMS経由で配信される特別に細工されたメディアファイルを介してリモートでコードを実行できます」と、この脆弱性を発見した人々は当時説明しました。「完全に兵器化された攻撃が成功すれば、ユーザーがメッセージを見る前に削除される可能性もあります。通知のみが表示されます。」
先週、GoogleはNexusユーザー向けに毎月のセキュリティアップデートを定期的に配信する計画を発表しました。LGとSamsungも、自社のデバイスにこれらのパッチを配信することに合意しました。
