logo

グーグル、「Dirty COW」脆弱性の修正は12月のAndroidパッチまで持ち越し

Liam Tung (Special to ZDNet.com) 翻訳校正: 水書健司 長谷睦 (ガリレオ)2016年11月10日 12時39分
  • このエントリーをはてなブックマークに追加

 Googleの11月の「Android Security Bulletin」では、数多くの重大な脆弱性が修正された。だが、最近開示された「Linux」のコピーオンライト(CoW)に関するセキュリティ問題「Dirty COW」の修正は、ここには含まれていない。

 CVE-2016-5195として登録されているこのDirty COWは、Linuxシステムに影響を及ぼす古いバグのひとつで、「Android」デバイスのルートアクセスを獲得するためにも利用できる。注目すべきは、10月に開示された時点で、すでにこれの脆弱性を突くツールが出回っていたことだ。さらにArs Technicaが報じたように、これはAndroidの複数のバージョンに対応するルート権限奪取ツールとして進化しており、不正な目的で利用される恐れがある。

 近日中に行われる「Nexus」と「Pixel」の両デバイス向けのアップデートは、Androidの「セキュリティパッチレベル2016-11-05」となる。このレベルには、11月のBulletinでの修正一式がすべて盛り込まれているが、Dirty COWはこれには含まれず、「追加」となるセキュリティパッチレベル2016-11-06の方に割り当てられた。

 ただし、この追加パッチはPixelとNexusの12月のアップデートでリリースされることを意図したもので、GoogleがAndroidパートナーに修正を要求するのも、「セキュリティパッチレベル2016-12-01」以降となる。

 「追加」セキュリティパッチレベルは、Googleの11月のパッチの中では、「部分的」パッチレベルと「完全」パッチレベルに次ぐ第3の階層だ。

 Googleは、すべてのAndroidパートナーに対し、米国時間10月20日の時点で11月のBulletinに含まれるすべての問題点が通知されているとしている。これは関係各所の協調による開示で、Dirty COWの存在が明らかにされた日の翌日にあたる。

 Kaspersky Labのニュースサービス「Threat Post」が強調しているように、こうしたベンダーへの早期開示によって、たとえばサムスンは、一部の「Galaxy」デバイスについては11月のアップデートでDirty COWにパッチを当てることができた。

 全体としては、NexusおよびPixelデバイス用にリリースされた11月のアップデートで、21項目の重大な脆弱性、23項目の重要度の高い脆弱性、8項目の中程度の脆弱性が修正される。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。

-PR-企画特集