Androidのメディア再生エンジン「Stagefright」に重大な脆弱性が見つかった問題で、セキュリティ企業のExodusは8月13日、Googleが配布したパッチは不完全で、この脆弱性は依然として悪用される可能性があることが分かったと発表した。

Stagefrightの脆弱性は2015年4月にGoogleに報告され、7月に情報が一般に公表された。Googleはメーカーやキャリア向けの修正パッチ提供に続いて、8月から始めた「Nexus」向けの月例OTA（無線経由）アップデートにも修正パッチを盛り込んでいた。

しかしExodusの研究者が公開されたパッチを調べたところ、重大な問題があることが判明した。研究者はNexus 5に配信された更新版のファームウェアを使ってパッチを回避するMP4を作成し、クラッシュを誘発させられることを確認したという。

Nexus 5向けの最新パッチでは対応が不十分だという（Exodusより）

同社は8月7日にGoogleにこの問題を報告したが、返答がなかったことからExodusのブログで公表に踏み切ったとしている。

Exodusでは、Stagefrightの脆弱性に関するGoogleのこれまでの対応について、最初の報告から既に120日以上が経過しており、Google自らが定める90日の期限を越えたと指摘。「Googleは膨大な数のセキュリティ担当者を抱えていて、多くが他者のソフトウェアを調べて期限内にパッチを提供するよう責めたてている。もしGoogleが、自分たちの顧客に影響する脆弱性が公開されているのにそれに対応できないのであれば、われわれにどんな望みがあるというのか」と批判している。

報道によれば、Googleは8月13日、この問題を修正するパッチはパートナー向けに配信済みで、9月の月例OTAアップデートでもNexus 4〜10とNexus Player向けのパッチを配信すると表明した。

Copyright © ITmedia, Inc. All Rights Reserved.