グーグル、Androidパッチの詳細を公表--ルートコンソールバグなどセキュリティ問題で

　Googleは、「T-Mobile G1」スマートフォンに搭載されている同社の「Android」OSソフトウェアの2つのアップデートで修正した脆弱性について、詳細を明らかにし始めた。

　同社はこれまで、作業の一部について認めていたものの、脆弱性に関して正式なコメントは発表していなかった。しかし、Androidのセキュリティ担当チームのRich Cannings氏が、それぞれ米国時間11月1日と9日にT-MobileからG1ユーザーへの配布が開始されたRC29とRC30のアップデートに関する詳細を明らかにした。

　Googleは、G1のRC29修正パッチでは、攻撃者がウェブサイトで悪質なコードを利用して、ブラウザを乗っ取ることが可能なブラウザの脆弱性が修正されたことを認めている。Androidのセキュリティ設計では、アプリケーションが別々の区画に入れられ、攻撃者の力が制限されているため、このような問題の深刻さは軽減されている。しかし、Cannings氏は、修正パッチでは、ほかにも2つの問題が修正されたと述べた。

　Androidのブラウザは、HTMLコードを実際のウェブページに変換するオープンソースの「WebKit」エンジンをベースにしている。RC29では、すでにリリースされていたが、Googleが提供していなかった2つの修正パッチが適用され、Androidが最新の状態になった。修正パッチの1つは、攻撃者がブラウザをコントロールできるようになるユニバーサルクロスサイトスクリプティングの問題だと、Cannings氏は述べた。

　また、RC29では、携帯電話をセーフモードで起動して、Androidのロック機構を回避できる問題も修正された。

　Googleは近いうちに「Android Security Announcements」グループでさらなる詳細を公表する計画だが、修正パッチがすべてのユーザーに提供されるまでは、すべての詳細は明らかにしないと、Cannings氏は述べた。