編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

GoogleがAndroidの脆弱性にパッチ

文:Ryan Naraine(Special to ZDNet.com) 翻訳校正:石橋啓一郎

2009-10-13 07:51

 Googleは、オープンソースの携帯電話プラットフォームであるAndroidの新バージョンを公開した。これは、サービス妨害(DoS)攻撃に繋がる可能性のある2件のセキュリティホールを修正するものだ。

 オープンソースプロジェクトの脆弱性を公開しているグループであるoCERTのアドバイザリによれば、これらのセキュリティホールによって、ハッカーはAndroidを利用しているデバイスを利用不能にすることができる。

 Androidの第1の問題の概要は次の通りだ。

 AndroidのSMSメッセージの処理に関する最新のレポートは、次のようなものだ。携帯電話を通信ネットワークから切り離す条件を誘発する不正な形式のSMSメッセージを作成することが可能となっている。この不正な形式のSMSメッセージは、電話アプリケーションでJavaのArrayIndexOutOfBoundsExceptionを引き起こす、誤ったフォーマットのWAP Pushメッセージからなっている(android.com.phone)。

 電話アプリケーションはユーザーが気づかないうちに再起動され、一時的に接続性が失われる(接続中の通話があれば、これも切断される)。SIMがPINで保護されている場合、PINの再入力とユーザーの関与が必要となるため、この切断が長引く場合がある。このバグを引き起こすことは(PINがない状態で繰り返し行われた場合)、リモートからのDoSと見なすことができる。

 第2の問題は次のようなものだ。

 特定の悪意のあるアプリケーションを作成することができ、これがユーザーによってダウンロードされ実行されると、脆弱性のあるAPI関数がトリガされ、システムプロセスが再起動される。開発者が実行パスがその関数呼び出しに繋がる状況で脆弱性のある関数を意図せずに呼び出した場合も、同じ条件が満たされる可能性がある。このバグを引き起こすことは、DoSと見なすことができる。

 この脆弱性は、Android 1.5に影響がある。Googleによってパッチが公開されている。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。原文へ

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]