Androidのメディアライブラリに脆弱性--付属ブラウザの利用に注意

文:Elinor Mills(CNET News.com) 翻訳校正:編集部 2009年02月13日 18時09分

  • このエントリーをはてなブックマークに追加

 「Android」モバイルプラットフォームでまた1つ脆弱性が発見された。同モバイルプラットフォームは2008年10月にも脆弱性が発見されていた。この度の脆弱性は、前回と同じ研究者によって発見された。この研究者は、パッチがインストールされるまでAndroidブラウザの使用を控えるよう勧めている。

 コンサルタント会社Independent Security Evaluatorsで主席アナリストを務めるCharlie Miller氏は米国時間2月12日、この脆弱性を修正するパッチは、Googleのソースコードリポジトリにはあるが、T-Mobileサービス経由でAndroid搭載携帯電話にダウンロードできる状態にはなっていないと述べた。

 この新たな脆弱性は前回のものと同様、Androidで悪意あるウェブページを開くと、攻撃者によって遠隔地からブラウザをコントロールされたり、機密情報にアクセスされてり、キーロガーをインストールされたりする恐れがある。

 同氏は、「おぞましい状況がすぐそこにあるのに、まだパッチが適用されていない」と述べ、Androidユーザーに対してパッチが適用されるまでウェブの閲覧を控えるよう警告している。

 AndroidのセキュリティエンジニアであるRich Cannings氏によると、PacketVideoが2月5日にこの脆弱性に対する修正を作成し、その2日後にOpen Source Androidにパッチを適用したという。同氏はReadWriteWebに対する声明で、GoogleはそのパッチをT-Mobileに提供しており、G1 Androidユーザーには、「T-Mobileの判断によってアップデートされる」と述べている。

 この脆弱性は、Googleが作成したコードではなく、マルチメディアソフトウェア企業であるPacketVideoがオープンソースのAndroidプロジェクトに提供したコードに含まれていた。Googleによると、PacketVideoの「OpenCore」メディアライブラリは、メディアサーバに利用され、Application Sandbox内で実行される仕組みになっているという。

 Cannings氏は、「メディアライブラリは非常に複雑であるため、バグを引き起こす可能性がある。そのため、われわれはOpenCoreを用いてメディアサーバを設計した。メディアサーバはそれ自身のアプリケーションサンドボックスで機能するため、メディアサーバに存在するセキュリティ問題は、電子メールやブラウザ、SMS、ダイヤラーなど携帯電話のその他のアプリケーションには影響を与えないだろう」と述べている。「Miller氏が1月21日にわれわれに報告したバグが利用された場合でも、それはメディアサーバに限定的で、メディアサーバが実行する動作を悪用することしかできないだろう。オーディオや映像メディアを再生したり変更したりなどだ」(Cannings氏)

 T-Mobileの関係者に対するコメントは得られていない。

 Miller氏は、7日にワシントンD.C.で開催されたShmooCon 2009セキュリティカンファレンスで同脆弱性について発表し、Googleに問題を通知したのは1月21日で、すでに17日経過していると語った。

 同氏は、「われわれが前回、10月にAndroidの脆弱性を発見した際には、12日後には修正され」、携帯電話向けのパッチが用意されたと述べている。「今回も速やかな対策は可能なはずだ」(Miller氏)

 Forbesが先週、この新たなAndoridのセキュリティホールについて報じ、ReadWriteWebがこれに続いた。

この記事は海外CNET Networks発のニュースをシーネットネットワークスジャパン編集部が日本向けに編集したものです。海外CNET Networksの記事へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

  • このエントリーをはてなブックマークに追加

この記事を読んだ方に

関連キーワード
セキュリティ

関連ホワイトペーパー

連載

CIO
シェアリングエコノミーの衝撃
デジタル“失敗学”
コンサルティング現場のカラクリ
Rethink Internet:インターネット再考
インシデントをもたらすヒューマンエラー
トランザクションの今昔物語
エリック松永のデジタルIQ道場
研究現場から見たAI
Fintechの正体
米ZDNet編集長Larryの独り言
大木豊成「仕事で使うアップルのトリセツ」
山本雅史「ハードから読み解くITトレンド放談」
田中克己「展望2020年のIT企業」
松岡功「一言もの申す」
松岡功「今週の明言」
内山悟志「IT部門はどこに向かうのか」
林 雅之「デジタル未来からの手紙」
谷川耕一「エンプラITならこれは知っとけ」
大河原克行「エンプラ徒然」
内製化とユーザー体験の関係
「プロジェクトマネジメント」の解き方
ITは「ひみつ道具」の夢を見る
セキュリティ
エンドポイントセキュリティの4つの「基礎」
企業セキュリティの歩き方
サイバーセキュリティ未来考
ネットワークセキュリティの要諦
セキュリティの論点
スペシャル
エンタープライズAIの隆盛
インシュアテックで変わる保険業界
顧客は勝手に育たない--MAツール導入の心得
「ひとり情シス」の本当のところ
ざっくり解決!SNS担当者お悩み相談室
生産性向上に効くビジネスITツール最前線
ざっくりわかるSNSマーケティング入門
課題解決のためのUI/UX
誰もが開発者になる時代 ~業務システム開発の現場を行く~
「Windows 10」法人導入の手引き
ソフトウェア開発パラダイムの進化
エンタープライズトレンド
10の事情
座談会@ZDNet
Dr.津田のクラウドトップガン対談
Gartner Symposium
IBM World of Watson
de:code
Sapphire Now
VMworld
Microsoft WPC
Microsoft Connect()
HPE Discover
Oracle OpenWorld
Dell Technologies World
AWS re:Invent
AWS Summit
PTC LiveWorx
吉田行男「より賢く活用するためのOSS最新動向」
古賀政純「Dockerがもたらすビジネス変革」
中国ビジネス四方山話
ベトナムでビジネス
日本株展望
企業決算
このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]