目次:
Googleは4月2日のAndroid向けセキュリティパッチに関する詳細をリリースし、数週間前のセキュリティ情報で説明されている問題と、いくつかの重大または中程度の重大な問題を完全に軽減しました。 これは、Androidで使用されるLinuxカーネルのバージョン3.4、3.10、および3.14の特権昇格の脆弱性に特に注意を払った、以前のセキュリティ情報とは少し異なります。 これについては、ページの後半で説明します。 それまでの間、今月のパッチについて知っておくべきことの内訳は次のとおりです。
Google Developerサイトで、現在サポートされているNexusデバイスのファームウェアイメージが更新されました。 Android Open Source Projectでは、これらの変更が関連するブランチに展開されており、すべてが48時間以内に完了して同期されます。 現在サポートされているNexusスマートフォンおよびタブレットの無線アップデートは進行中であり、標準のGoogleロールアウト手順に従います。Nexusに到達するまでに1〜2週間かかる場合があります。 すべてのパートナー(つまり、ブランドに関係なく携帯電話を構築した人々)は、2016年3月16日の時点でこれらの修正プログラムにアクセスしており、各自の個別のスケジュールでデバイスを発表および修正します。
対処される最も深刻な問題は、メディアファイルを処理するときにリモートでコードが実行される可能性がある脆弱性です。 これらのファイルは、電子メール、WebブラウジングMMS、インスタントメッセージングなど、あらゆる手段で電話機に送信できます。 パッチが適用されるその他の重要な問題は、DHCPクライアント、Qualcommのパフォーマンスモジュール、およびRFドライバーに固有のものです。 これらのエクスプロイトにより、デバイスファームウェアを恒久的に侵害するコードが実行される可能性があり、「プラットフォームとサービスの緩和が開発提案で無効になっている場合」エンドユーザーがオペレーティングシステム全体を再フラッシュする必要があります。 それは、セキュリティのオタクであり、未知のソースからのアプリのインストールを許可したり、OEMのロック解除を許可したりします。
パッチが適用されるその他の脆弱性には、ファクトリリセット保護を回避する方法、サービス拒否攻撃を可能にするために悪用される可能性のある問題、およびルートを持つデバイスでのコード実行を可能にする問題も含まれます。 ITプロフェッショナルは、この更新プログラムで修正された「機密」情報へのアクセスを許可する可能性があるメールおよびActiveSyncの問題も喜んで確認します。
いつものように、Googleはユーザーがこれらの問題の影響を受けているという報告はなく、デバイスがこれらの問題や将来の問題の犠牲にならないようにするための推奨手順があることも思い出させてくれます。
- Androidプラットフォームの新しいバージョンの機能強化により、Androidの多くの問題の悪用がより困難になります。 可能な限り、すべてのユーザーがAndroidの最新バージョンに更新することをお勧めします。
- Androidセキュリティチームは、アプリの検証とSafetyNetを使用して悪用を積極的に監視しています。これらは、インストールされようとしている潜在的に有害なアプリケーションが検出されたことをユーザーに警告します。 デバイスルーティングツールはGoogle Play内では禁止されています。 Google Playの外部からアプリケーションをインストールするユーザーを保護するために、アプリの検証はデフォルトで有効になっており、既知のルート化アプリケーションについてユーザーに警告します。 アプリが、権限昇格の脆弱性を悪用する既知の悪意のあるアプリケーションのインストールを特定し、ブロックしようとすることを確認します。 そのようなアプリケーションがすでにインストールされている場合、検証アプリはユーザーに通知し、そのようなアプリケーションを削除しようとします。
- 必要に応じて、Googleハングアウトおよびメッセンジャーアプリケーションは、メディアサーバーなどのプロセスにメディアを自動的に渡しません。
前のセキュリティ情報で言及された問題について
2016年3月18日に、Googleは、多くのAndroid携帯電話およびタブレットで使用されているLinuxカーネルの問題に関する別の補足セキュリティ情報を発行しました。 Androidで使用されているLinuxカーネルのバージョン3.4、3.10、3.14のエクスプロイトにより、デバイスが恒久的に侵害される(つまり、ルート化されている)ことがあり、影響を受ける電話やその他のデバイスでは、オペレーティングシステムの再フラッシュが必要になることが実証されました回復する。 アプリケーションがこのエクスプロイトを実証できたため、月半ばの速報がリリースされました。 Googleはまた、Nexusデバイスは「数日以内に」パッチを受け取ると述べました。 そのパッチは具体化されず、Googleは最新のセキュリティ情報でその理由について言及していません。
この問題-CVE-2015-1805-は2016年4月2日のセキュリティ更新プログラムで完全に修正されました。 Androidバージョン4.4.4、5.0.2、5.1.1、6.0、および6.0.1のAOSPブランチがこのパッチを受け取り、ソースへのロールアウトが進行中です。
Googleはまた、2016年4月1日付のパッチを受け取った可能性のあるデバイスは、この特定のエクスプロイトに対してパッチが適用されておらず、2016年4月2日以降のパッチレベルのAndroidデバイスのみが最新であると述べています。
Verizon Galaxy S6およびGalaxy S6 edgeに送信される更新は2016年4月2日付で、これらの修正 が 含まれて い ます。
T-Mobile Galaxy S7およびGalaxy S7 edgeに送信される更新は2016年4月2日付で、これらの修正 が 含まれて い ます。
ロック解除されたBlackBerry Priv電話用のビルドAAE298は2016年4月2日付けで、これらの修正 が 含まれて い ます。 2016年3月下旬にリリースされました。
3.18カーネルバージョンを実行している電話機はこの特定の問題の影響を受けませんが、2016年4月2日のパッチで対処された他の問題のパッチが必要です。
