Androidのメディアライブラリに脆弱性--付属ブラウザの利用に注意

文:Elinor Mills(CNET News.com) 翻訳校正:編集部 2009年02月13日 18時09分

  • このエントリーをはてなブックマークに追加

 「Android」モバイルプラットフォームでまた1つ脆弱性が発見された。同モバイルプラットフォームは2008年10月にも脆弱性が発見されていた。この度の脆弱性は、前回と同じ研究者によって発見された。この研究者は、パッチがインストールされるまでAndroidブラウザの使用を控えるよう勧めている。

 コンサルタント会社Independent Security Evaluatorsで主席アナリストを務めるCharlie Miller氏は米国時間2月12日、この脆弱性を修正するパッチは、Googleのソースコードリポジトリにはあるが、T-Mobileサービス経由でAndroid搭載携帯電話にダウンロードできる状態にはなっていないと述べた。

 この新たな脆弱性は前回のものと同様、Androidで悪意あるウェブページを開くと、攻撃者によって遠隔地からブラウザをコントロールされたり、機密情報にアクセスされてり、キーロガーをインストールされたりする恐れがある。

 同氏は、「おぞましい状況がすぐそこにあるのに、まだパッチが適用されていない」と述べ、Androidユーザーに対してパッチが適用されるまでウェブの閲覧を控えるよう警告している。

 AndroidのセキュリティエンジニアであるRich Cannings氏によると、PacketVideoが2月5日にこの脆弱性に対する修正を作成し、その2日後にOpen Source Androidにパッチを適用したという。同氏はReadWriteWebに対する声明で、GoogleはそのパッチをT-Mobileに提供しており、G1 Androidユーザーには、「T-Mobileの判断によってアップデートされる」と述べている。

 この脆弱性は、Googleが作成したコードではなく、マルチメディアソフトウェア企業であるPacketVideoがオープンソースのAndroidプロジェクトに提供したコードに含まれていた。Googleによると、PacketVideoの「OpenCore」メディアライブラリは、メディアサーバに利用され、Application Sandbox内で実行される仕組みになっているという。

 Cannings氏は、「メディアライブラリは非常に複雑であるため、バグを引き起こす可能性がある。そのため、われわれはOpenCoreを用いてメディアサーバを設計した。メディアサーバはそれ自身のアプリケーションサンドボックスで機能するため、メディアサーバに存在するセキュリティ問題は、電子メールやブラウザ、SMS、ダイヤラーなど携帯電話のその他のアプリケーションには影響を与えないだろう」と述べている。「Miller氏が1月21日にわれわれに報告したバグが利用された場合でも、それはメディアサーバに限定的で、メディアサーバが実行する動作を悪用することしかできないだろう。オーディオや映像メディアを再生したり変更したりなどだ」(Cannings氏)

 T-Mobileの関係者に対するコメントは得られていない。

 Miller氏は、7日にワシントンD.C.で開催されたShmooCon 2009セキュリティカンファレンスで同脆弱性について発表し、Googleに問題を通知したのは1月21日で、すでに17日経過していると語った。

 同氏は、「われわれが前回、10月にAndroidの脆弱性を発見した際には、12日後には修正され」、携帯電話向けのパッチが用意されたと述べている。「今回も速やかな対策は可能なはずだ」(Miller氏)

 Forbesが先週、この新たなAndoridのセキュリティホールについて報じ、ReadWriteWebがこれに続いた。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

  • このエントリーをはてなブックマークに追加
関連キーワード
セキュリティ

関連ホワイトペーパー

SpecialPR

  • デジタル変革か?ゲームセットか?

    デジタルを駆使する破壊的なプレーヤーの出現、既存のビジネスモデルで競争力を持つ
    プレイヤーはデジタル活用による変革が迫られている。これを読めばデジタル変革の全体像がわかる!

  • 【3/31まで早期割引受付中!】「IBM Watson Summit 2017」開催

    日本IBMが主催する最大の国内総合イベント。テクノロジー・リーダーの疑問を紐解く「企業IT、セキュリティー、モバイル、データ解析などの進化を探る」詳細はこちらから!

連載

CIO
研究現場から見たAI
ITは「ひみつ道具」の夢を見る
内製化とユーザー体験の関係
米ZDNet編集長Larryの独り言
今週の明言
「プロジェクトマネジメント」の解き方
田中克己「2020年のIT企業」
松岡功「一言もの申す」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
Fintechの正体
内山悟志「IT部門はどこに向かうのか」
情報通信技術の新しい使い方
三国大洋のスクラップブック
大河原克行のエンプラ徒然
コミュニケーション
情報系システム最適化
モバイル
通信のゆくえを追う
セキュリティ
セキュリティの論点
ネットワークセキュリティ
スペシャル
座談会@ZDNet
Dr.津田のクラウドトップガン対談
CSIRT座談会--バンダイナムコや大成建設、DeNAに聞く
創造的破壊を--次世代SIer座談会
企業決算を追う
「SD-WAN」の現在
展望2017
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
HPE Discover
Oracle OpenWorld
Dell EMC World
AWS re:Invent
PTC LiveWorx
古賀政純「Dockerがもたらすビジネス変革」
さとうなおきの「週刊Azureなう」
誰もが開発者になる時代 ~業務システム開発の現場を行く~
中国ビジネス四方山話
より賢く活用するためのOSS最新動向
「Windows 10」法人導入の手引き
Windows Server 2003サポート終了へ秒読み
米株式動向
実践ビッグデータ
日本株展望
ベトナムでビジネス
アジアのIT
10の事情
エンタープライズトレンド
クラウドと仮想化