GoogleのAndroid SDKに複数の脆弱性

　Core Security Technologiesによれば、GoogleのAndroid SDKは遠隔からの攻撃に利用できる複数の脆弱性を持っているという。

　勧告の中で、Core Security TechnologiesはAndroidのヒープと内部フローにオーバーフロー問題があると述べ、8つのCVE識別番号を予約した。

　Core Security Technologiesは次のように記している。

　Androidのよく利用される画像フォーマット（PNG、GIF、BMP）の画像コンテンツを処理する中心的なライブラリに、いくつかの脆弱性が発見された。これらの脆弱性の一部は、脆弱性を持つ古いオープンソース画像処理ライブラリを使っていることから生じており、その他の脆弱性はそれらのライブラリを使う部分や新しい機能を実装する部分のAndroidのネーティブコードで導入されている。

　SDKに含まれているエミュレーターを用いて、これらの脆弱性を利用しAndroidプラットフォームを実行している電話機の制御を完全に乗っ取ることが可能であることが証明された。このエミュレーターは、ARMマイクロプロセッサ上でAndroidプラットフォームを実行している電話機をエミュレートするものだ。

　同社は、それぞれの脆弱性について技術的な説明を加え、その概念について概説している。この説明は読む価値がある。ただし、Androidはまだ開発中であり、これらの脆弱性に対する修正が実装される見込みが強い。

　この件については、次の文献も参照してほしい。

• eWeekのAndroidの脆弱性に対するRyan Naraineの意見。
• Android Developer's BlogのJason Chen氏による、最近のアップデートに関する記事で、「画像ファイルの知りに関するセキュリティ問題を1つ修正」していると書かれている。
• Ed Burnette氏のAndroidに対する開発者からの見方。