Androidのメディアライブラリに脆弱性--付属ブラウザの利用に注意

文:Elinor Mills(CNET News.com) 翻訳校正:編集部

2009-02-13 18:09

 「Android」モバイルプラットフォームでまた1つ脆弱性が発見された。同モバイルプラットフォームは2008年10月にも脆弱性が発見されていた。この度の脆弱性は、前回と同じ研究者によって発見された。この研究者は、パッチがインストールされるまでAndroidブラウザの使用を控えるよう勧めている。

 コンサルタント会社Independent Security Evaluatorsで主席アナリストを務めるCharlie Miller氏は米国時間2月12日、この脆弱性を修正するパッチは、Googleのソースコードリポジトリにはあるが、T-Mobileサービス経由でAndroid搭載携帯電話にダウンロードできる状態にはなっていないと述べた。

 この新たな脆弱性は前回のものと同様、Androidで悪意あるウェブページを開くと、攻撃者によって遠隔地からブラウザをコントロールされたり、機密情報にアクセスされてり、キーロガーをインストールされたりする恐れがある。

 同氏は、「おぞましい状況がすぐそこにあるのに、まだパッチが適用されていない」と述べ、Androidユーザーに対してパッチが適用されるまでウェブの閲覧を控えるよう警告している。

 AndroidのセキュリティエンジニアであるRich Cannings氏によると、PacketVideoが2月5日にこの脆弱性に対する修正を作成し、その2日後にOpen Source Androidにパッチを適用したという。同氏はReadWriteWebに対する声明で、GoogleはそのパッチをT-Mobileに提供しており、G1 Androidユーザーには、「T-Mobileの判断によってアップデートされる」と述べている。

 この脆弱性は、Googleが作成したコードではなく、マルチメディアソフトウェア企業であるPacketVideoがオープンソースのAndroidプロジェクトに提供したコードに含まれていた。Googleによると、PacketVideoの「OpenCore」メディアライブラリは、メディアサーバに利用され、Application Sandbox内で実行される仕組みになっているという。

 Cannings氏は、「メディアライブラリは非常に複雑であるため、バグを引き起こす可能性がある。そのため、われわれはOpenCoreを用いてメディアサーバを設計した。メディアサーバはそれ自身のアプリケーションサンドボックスで機能するため、メディアサーバに存在するセキュリティ問題は、電子メールやブラウザ、SMS、ダイヤラーなど携帯電話のその他のアプリケーションには影響を与えないだろう」と述べている。「Miller氏が1月21日にわれわれに報告したバグが利用された場合でも、それはメディアサーバに限定的で、メディアサーバが実行する動作を悪用することしかできないだろう。オーディオや映像メディアを再生したり変更したりなどだ」(Cannings氏)

 T-Mobileの関係者に対するコメントは得られていない。

 Miller氏は、7日にワシントンD.C.で開催されたShmooCon 2009セキュリティカンファレンスで同脆弱性について発表し、Googleに問題を通知したのは1月21日で、すでに17日経過していると語った。

 同氏は、「われわれが前回、10月にAndroidの脆弱性を発見した際には、12日後には修正され」、携帯電話向けのパッチが用意されたと述べている。「今回も速やかな対策は可能なはずだ」(Miller氏)

 Forbesが先週、この新たなAndoridのセキュリティホールについて報じ、ReadWriteWebがこれに続いた。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]