グーグル、「Dirty COW」脆弱性の修正は12月のAndroidパッチまで持ち越し

Liam Tung (Special to ZDNET.com) 翻訳校正: 水書健司 長谷睦 (ガリレオ)

2016-11-10 12:39

 Googleの11月の「Android Security Bulletin」では、数多くの重大な脆弱性が修正された。だが、最近開示された「Linux」のコピーオンライト(CoW)に関するセキュリティ問題「Dirty COW」の修正は、ここには含まれていない。

 CVE-2016-5195として登録されているこのDirty COWは、Linuxシステムに影響を及ぼす古いバグのひとつで、「Android」デバイスのルートアクセスを獲得するためにも利用できる。注目すべきは、10月に開示された時点で、すでにこれの脆弱性を突くツールが出回っていたことだ。さらにArs Technicaが報じたように、これはAndroidの複数のバージョンに対応するルート権限奪取ツールとして進化しており、不正な目的で利用される恐れがある。

 近日中に行われる「Nexus」と「Pixel」の両デバイス向けのアップデートは、Androidの「セキュリティパッチレベル2016-11-05」となる。このレベルには、11月のBulletinでの修正一式がすべて盛り込まれているが、Dirty COWはこれには含まれず、「追加」となるセキュリティパッチレベル2016-11-06の方に割り当てられた。

 ただし、この追加パッチはPixelとNexusの12月のアップデートでリリースされることを意図したもので、GoogleがAndroidパートナーに修正を要求するのも、「セキュリティパッチレベル2016-12-01」以降となる。

 「追加」セキュリティパッチレベルは、Googleの11月のパッチの中では、「部分的」パッチレベルと「完全」パッチレベルに次ぐ第3の階層だ。

 Googleは、すべてのAndroidパートナーに対し、米国時間10月20日の時点で11月のBulletinに含まれるすべての問題点が通知されているとしている。これは関係各所の協調による開示で、Dirty COWの存在が明らかにされた日の翌日にあたる。

 Kaspersky Labのニュースサービス「Threat Post」が強調しているように、こうしたベンダーへの早期開示によって、たとえばサムスンは、一部の「Galaxy」デバイスについては11月のアップデートでDirty COWにパッチを当てることができた。

 全体としては、NexusおよびPixelデバイス用にリリースされた11月のアップデートで、21項目の重大な脆弱性、23項目の重要度の高い脆弱性、8項目の中程度の脆弱性が修正される。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    「デジタル・フォレンジック」から始まるセキュリティ災禍論--活用したいIT業界の防災マニュアル

  2. 運用管理

    「無線LANがつながらない」という問い合わせにAIで対応、トラブル解決の切り札とは

  3. 運用管理

    Oracle DatabaseのAzure移行時におけるポイント、移行前に確認しておきたい障害対策

  4. 運用管理

    Google Chrome ブラウザ がセキュリティを強化、ゼロトラスト移行で高まるブラウザの重要性

  5. ビジネスアプリケーション

    技術進化でさらに発展するデータサイエンス/アナリティクス、最新の6大トレンドを解説

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]