AndroidのStageFright機能に新たな脆弱性

2015年10月4日 18:29

小

中

大

印刷

記事提供元:スラド

7月に脆弱性が公表されて話題となったAndroidの「StageFright」機能だが、また新たな脆弱性がZimperiumによって公表された(Zimperium Mobile Security Blogの記事Ars Technicaの記事The Registerの記事Threatpostの記事)。

Zimperiumが「Stagefright 2.0」と呼ぶ脆弱性は、Androidの「libutils」で発見された脆弱性(CVE-2015-6602)と「libstagefright」で発見された脆弱性(CVE-2015-3876)を組み合わせたもので、細工したMP3またはMP4ファイルを読み込ませることで任意のコード実行が可能になるという。

CVE-2015-6602はAndroid 1.0から存在しており、ほぼすべてのAndroidデバイスが影響を受ける。ZimperiumではCVE-2015-3876を利用することで、CVE-2015-6602を利用した攻撃がAndroid 5.0以降で可能になることを確認しているという。Android 5.0より古いバージョンでも、脆弱性のあるlibutilsの関数を使用するサードパーティーのアプリやプリインストールアプリが端末に存在すれば攻撃が可能となる。

Stagefright 2.0は以前の脆弱性(Stagefright 1.0)と同様、細工したメディアファイルをプレビューするだけで攻撃が実行される。Stagefright 1.0では主にMMSを使用した攻撃が想定されていたが、GoogleはHangoutsやMessengerアプリでMMSのバックグラウンド処理を無効化している。そのため、Stagefright 2.0では主にWebブラウザーを経由した攻撃が想定されるという。また、脆弱性のあるライブラリを使用するサードパーティーアプリを使用して攻撃が行われる可能性もあるとのことだ。 スラドのコメントを読む | セキュリティセクション | メディア | セキュリティ | バグ | Android

 関連ストーリー:
Android 5.xでパスワードを設定したロック画面をバイパス可能な脆弱性 2015年09月19日
Android Lollipop、シェアが20%を超える 2015年09月13日
Androidの脆弱性「Certifi-gate」を悪用するアプリがPlayストアで公開されていた 2015年08月29日
携帯電話の脆弱性にもリコール制度が必要? 2015年08月23日
AndroidのMediaServerで任意のコード実行が可能となる新たな脆弱性 2015年08月21日
Androidで新たな脆弱性が多数発見される 2015年08月13日
Androidデバイスが操作不能になる脆弱性、半数以上の端末に影響 2015年08月01日
Androidでビデオメッセージを受信するだけでデバイスが乗っ取られる脆弱性が確認される 2015年07月28日
Androidのテキスト読み上げ機能を悪用して情報を窃取するスパイウェア 2015年07月07日
中間者攻撃によりSNSアカウント情報などが窃取される可能性のあるAndroidアプリ 2015年07月02日
GoogleはAndroidの更新に関する問題をいつまで放置し続けるのか 2015年05月10日
Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ 2015年01月14日

※この記事はスラドから提供を受けて配信しています。

広告

広告

写真で見るニュース

  • SUBARU XV「Advance」(画像: SUBARUの発表資料より)
  • スウェーデンの首都ストックホルムにあるノーベル博物館の扉 (c) 123rf
  • 地上階の空間設計。(画像:大阪地下街発表資料より)
  • 新型「BMW X1」。(画像: ビー・エム・ダブリューの発表資料より)
  • エクステリア(写真:トヨタ自動車発表資料より)
  • 完成した住友不動産秋葉原駅前ビル(住友不動産発表資料より)
  • 登録証と記念盾。(画像:Meiji Seikaファルマ発表資料より)
  • 結び目状をした複数の星周円盤が連星系を囲む様子 (c) ALMA (ESO/NAOJ/NRAO), Alves et al.
 

広告

ピックアップ 注目ニュース