ほぼ全てのAndroidに存在する新たな脆弱性が報告された

Androidのメディア処理ライブラリ「Stagefright」に極めて重大な脆弱性が見つかった問題に関連して、セキュリティ企業のZimperiumは10月1日、別のメディア処理ライブラリに新たに2件の脆弱性を発見したと伝えた。細工を施したMP3やMP4のビデオファイルを使って攻撃者に任意のコードを実行される可能性を指摘している。

Zimperiumでは今回見つかった脆弱性を「Stagefright 2.0」と命名した。影響はバージョン5（Lollipop）までのAndroidを搭載した10億台あまりの端末に及ぶと伝えられている。

同社によれば、2件の脆弱性のうち「libutils」というライブラリの脆弱性（CVE-2015-6602）は、2008年にリリースされたバージョン1.0以降のほぼ全てのAndroidが影響を受ける。

もう1件の脆弱性は「libstagefright」ライブラリに存在していて、CVE-2015-6602と組み合わせれば、バージョン5.0以降のAndroidでも悪用できることが分かったという。

悪用された場合、細工を施したMP3やMP4のビデオファイルを処理することによって任意のコードを実行される恐れがある。問題はファイル内のメタデータ処理に起因していることから、音楽やビデオのファイルをプレビューさせるだけで悪用できてしまうという。

Stagefrightの脆弱性ではユーザーがMMSを受信しただけでAndroid端末を乗っ取られる可能性があったことから、Googleは「Hangouts」と「Messenger」のアプリを更新し、MMSを使った攻撃を阻止する対策を講じた。

このため新たな脆弱性は、Webブラウザ経由の攻撃に利用される公算が大きいとZimperiumは指摘する。フィッシング詐欺や不正な広告を使って攻撃サイトにユーザーを誘導する手口、通信に割り込む中間者攻撃の手口、脆弱性のあるライブラリを使ったメディア再生アプリやインスタントメッセージングアプリを利用する手口などが考えられるとしている。

9月上旬現在のAndroidのバージョン別シェア

GoogleのAndroidセキュリティチームには8月15日に連絡を取り、Googleも直ちに対応したという。Zimperiumはベンダーに対し、できるだけ早くAndroidの更新版をリリースして脆弱性を修正するよう促している。

Nexus向けのパッチはGoogleが10月5日に配信する月例セキュリティアップデートで提供する予定と伝えられている。

Copyright © ITmedia, Inc. All Rights Reserved.