グーグル、「Dirty COW」脆弱性の修正は12月のAndroidパッチまで持ち越し

　Googleの11月の「Android Security Bulletin」では、数多くの重大な脆弱性が修正された。だが、最近開示された「Linux」のコピーオンライト（CoW）に関するセキュリティ問題「Dirty COW」の修正は、ここには含まれていない。

　CVE-2016-5195として登録されているこのDirty COWは、Linuxシステムに影響を及ぼす古いバグのひとつで、「Android」デバイスのルートアクセスを獲得するためにも利用できる。注目すべきは、10月に開示された時点で、すでにこれの脆弱性を突くツールが出回っていたことだ。さらにArs Technicaが報じたように、これはAndroidの複数のバージョンに対応するルート権限奪取ツールとして進化しており、不正な目的で利用される恐れがある。

　近日中に行われる「Nexus」と「Pixel」の両デバイス向けのアップデートは、Androidの「セキュリティパッチレベル2016-11-05」となる。このレベルには、11月のBulletinでの修正一式がすべて盛り込まれているが、Dirty COWはこれには含まれず、「追加」となるセキュリティパッチレベル2016-11-06の方に割り当てられた。

　ただし、この追加パッチはPixelとNexusの12月のアップデートでリリースされることを意図したもので、GoogleがAndroidパートナーに修正を要求するのも、「セキュリティパッチレベル2016-12-01」以降となる。

　「追加」セキュリティパッチレベルは、Googleの11月のパッチの中では、「部分的」パッチレベルと「完全」パッチレベルに次ぐ第3の階層だ。

　Googleは、すべてのAndroidパートナーに対し、米国時間10月20日の時点で11月のBulletinに含まれるすべての問題点が通知されているとしている。これは関係各所の協調による開示で、Dirty COWの存在が明らかにされた日の翌日にあたる。

　Kaspersky Labのニュースサービス「Threat Post」が強調しているように、こうしたベンダーへの早期開示によって、たとえばサムスンは、一部の「Galaxy」デバイスについては11月のアップデートでDirty COWにパッチを当てることができた。

　全体としては、NexusおよびPixelデバイス用にリリースされた11月のアップデートで、21項目の重大な脆弱性、23項目の重要度の高い脆弱性、8項目の中程度の脆弱性が修正される。