先日、多数のAndroid端末に関するゼロデイ攻撃を受ける可能性がある脆弱性がLinuxカーネルに存在することが先日、多くのメディアで報じられました。
それを受けてGoogleは、現地時間21日に、この問題に対処するセキュリティパッチをオープンソースで公開し、パートナー企業に対して提供したことを明らかにしました。
また、このセキュリティパッチは、セキュリティパッチレベルが2016年3月1日以降の端末が対象になるとのことです。
影響を受ける端末と今後
今回の脆弱性を利用すれば、アタッカーは、root権限を奪取して端末を完全にコントロールされることが可能になってしまいます。
photo by AtitaSoft Technologies
今回の端末の対象は、Linuxカーネルを使用している66%の端末が攻撃対象になると言われており、今回の脆弱性を含んでいるAndroidのバージョンは、Android 4.4'KitKat)以下の端末のみで、Android 5.0(Lolipop)以上の端末には関係ありません。
これは、SELinuxと呼ばれるLinuxカーネルのアクセス制御機能のおかげで、SELinuxを搭載しているAndroid 5.0(Lolipop)以上のOSは、今回の脆弱性を突いた攻撃をブロックしてくれます。
また、Android以外の組み込みLinuxにおいても、影響を与えることからRedhutやSUSEがLinuxのセキュリティチームとともに修正パッチを作成しています。
AndroidやLinuxは、多くの端末でカスタマイズが行われた状態で出荷される為、HTCやSonyなどのAndroid OSを開発しているメーカーやDebianやUbuntuなどのLinux OSは修正パッチの作成に手を焼きそうですね。
