--.--.-- --:--|カテゴリ:スポンサー広告

スポンサーサイト


上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。
 

2015.10.02 07:19|カテゴリ:Security

10億台以上のAndroidがStagefright 2.0 と名付けられた新たな脆弱性により不正侵入される可能性


 Androidに搭載されている動画などのメディアを処理するメディアエンジン「Stagefright」に新たに2つの脆弱性が見つかりました。
 

Meet Stagefright 2.0, a set of two vulnerabilities that manifest when processing specially crafted MP3 audio or MP4 video files. The first vulnerability (in libutils) impacts almost every Android device since version 1.0 released in 2008. We found methods to trigger that vulnerability in devices running version 5.0 and up using the second vulnerability (in libstagefright). Google assigned CVE-2015-6602 to vulnerability in libutils. We plan to share CVE information for the second vulnerability as soon as it is available.
Zimperium zLabs is Raising the Volume: New Vulnerability Processing MP3/MP4 Media. › Zimperium Mobile Security Blog


stagefright.jpg
 
 新たに発見された脆弱性は2つあり、細工されたMP3 オーディオや MP4 ビデオファイルをプレビューさせることで悪用することが可能です。このうち1つ目の脆弱性は2008年以降にリリースされたAndroid1.0以降の端末ほぼすべてが影響を受けます。悪用されるとリモートからコードを実行されたり、端末に不正侵入され端末内の写真や個人情報をぬすまれたりする可能性があります。その台数は10億台以上に上ると考えられています。
 
 「Stagefright」は動画などのメディアを処理するメディアエンジンで、今回新たに2つの脆弱性を発見したZimperium 社が以前も脆弱性を見つけています。

全Androidの95%に影響がある「Stagefright」脆弱性が見つかる MMS受信だけでも攻撃が発動するがそれ以外にも気をつけて!|I believe in technology
セキュリティベンダー Zimperium Zlabs の ブログ「ZIMPERIUM MOBILE SECURITY」によると、Androidに搭載されている動画などのメディアを処理するメディアエンジン「Stagefright」に脆弱性があり、細工を施した動画ファイルをAndroidが処理した際に、アプリ権限で任意コード実行が可能になるとのこと。



 この時発見された「Stagefright」と名付けられた脆弱性は、Androidのバージョン2.2 (Froyo)以降のバージョンに影響があり、現存するAndroid端末全体の約95%、およそ9億5000万台に相当するとみられていましたが、今回発見された脆弱性の一つはこれ以上に影響が大きいと考えられています。

 今回発見された脆弱性もすでにAndroidのセキュリティチームに報告されており、今後、Googleからパッチが提供されることことでしょう。

 しかし、Androidの場合、キャリアや端末ベンダーによるカスタマイズがあるため、通常はそのままパッチを適用することができません。今回のようにすでにサポートが打ち切られた古いバージョンも影響を受ける場合はより深刻です。

 動画を活用した広告などが悪用される可能性があり、Webサイトを閲覧する限り、その影響を防ぐことはできないようにも思えます。安全性を重視する場合は、脆弱性が放置されるような端末は、捨てざるをえないのかもしれませんね。

 

検索フォーム
スポンサードリンク
はてブ人気記事
スポンサードリンク
Twitter
スポンサードリンク
スポンサードリンク
おすすめApp
スポンサードリンク
プロフィール

reynotch

Author:reynotch
Twitter:@reynotch
Facebook
Google


セキュリティネタやiPhone、iPad、Android関連の記事を中心に気になったことを書いています。
IT系のネタはあまり難しくならないように、わかりやすい言葉で書きたいと考えています。



上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。