Googleの11月の「Android Security Bulletin」では、数多くの重大な脆弱性が修正された。だが、最近開示された「Linux」のコピーオンライト(CoW)に関するセキュリティ問題「Dirty COW」の修正は、ここには含まれていない。
CVE-2016-5195として登録されているこのDirty COWは、Linuxシステムに影響を及ぼす古いバグのひとつで、「Android」デバイスのルートアクセスを獲得するためにも利用できる。注目すべきは、10月に開示された時点で、すでにこれの脆弱性を突くツールが出回っていたことだ。さらにArs Technicaが報じたように、これはAndroidの複数のバージョンに対応するルート権限奪取ツールとして進化しており、不正な目的で利用される恐れがある。
近日中に行われる「Nexus」と「Pixel」の両デバイス向けのアップデートは、Androidの「セキュリティパッチレベル2016-11-05」となる。このレベルには、11月のBulletinでの修正一式がすべて盛り込まれているが、Dirty COWはこれには含まれず、「追加」となるセキュリティパッチレベル2016-11-06の方に割り当てられた。
ただし、この追加パッチはPixelとNexusの12月のアップデートでリリースされることを意図したもので、GoogleがAndroidパートナーに修正を要求するのも、「セキュリティパッチレベル2016-12-01」以降となる。
「追加」セキュリティパッチレベルは、Googleの11月のパッチの中では、「部分的」パッチレベルと「完全」パッチレベルに次ぐ第3の階層だ。
Googleは、すべてのAndroidパートナーに対し、米国時間10月20日の時点で11月のBulletinに含まれるすべての問題点が通知されているとしている。これは関係各所の協調による開示で、Dirty COWの存在が明らかにされた日の翌日にあたる。
Kaspersky Labのニュースサービス「Threat Post」が強調しているように、こうしたベンダーへの早期開示によって、たとえばサムスンは、一部の「Galaxy」デバイスについては11月のアップデートでDirty COWにパッチを当てることができた。
全体としては、NexusおよびPixelデバイス用にリリースされた11月のアップデートで、21項目の重大な脆弱性、23項目の重要度の高い脆弱性、8項目の中程度の脆弱性が修正される。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。