Android で新たに 2 つの脆弱性が見つかりました。元の Stagefright と類似しており、被害者が MP3 または MP4 ファイルのプレビューを表示すると、攻撃者は侵入先のデバイスを制御できるようになります。見つかった脆弱性は、libutils ライブラリに存在する CVE-2015-6602 と、libstagefright ライブラリに存在する CVE-2015-3876 です。ともに、Android デバイスでリモートコードを実行でき、権限の昇格を引き起こして、攻撃者が侵入先のデバイスを完全に制御できるようになります。攻撃者がこのレベルでアクセスできるようになると、マルウェアをインストールしたり情報を盗み出したりするなど、悪質なアクションを実行できるようになります。
攻撃者がこの 2 つの脆弱性を悪用すると、悪質な MP3 音声ファイルや MP4 動画ファイルを作成し、影響を受ける Android デバイス上でユーザーを誘導してその楽曲や動画をプレビューさせることができます。Google は Stagefright に対するパッチを公開し、作成されたメッセージが自動的に処理されることはなくなりましたが、攻撃者がモバイルブラウザを通じて Stagefright を悪用する可能性は残っています。中間者攻撃や、まだ Stagefright を利用しているサードパーティ製アプリを通じて、Stagefright 2.0 の脆弱性を悪用される可能性があるからです。
CVE-2015-6602 と CVE-2015-3876 のアップデートはまだ公開されていませんが、Google によると 10 月 5 日の月曜日に予定されている月例セキュリティ更新で公開されるとのことです。詳しくは、こちらをご覧ください。Google はアップデートの公開を予定しているものの、キャリアとメーカーがそれを配布する必要があるので、影響を受けるデバイスにすぐに行き渡るとは限りません。このパッチは 9 月 10 日にパートナー各社に提供されており、Google はできるだけ早くアップデートを公開できるよう OEM やキャリアと協力しているということです。
現行の Android デバイスはすべて、今回見つかった 2 つの脆弱性の影響を受ける可能性があります。CVE-2015-6602 はバージョン 1.0 以降のほぼすべての Android デバイスに、CVE-2015-3876 はバージョン 5.0 以降を搭載するどのデバイスにも影響するからです。ただし、これらの脆弱性の悪用による被害が実際に確認されたという報告はまだありません。
今回の脆弱性を発見したのは Zimperium zLab 社の Josh Drake 氏で、Android Security Team には 8 月 15 日に通知されています。Zimperium 社から、一般に利用できる概念実証は発表されていません。
対処方法 パッチが公開されるまでは、心当たりのない音声ファイルや動画ファイルをモバイルブラウザでプレビューしないよう、注意してください。
Android をお使いの場合は、キャリアや端末メーカーから発行されるセキュリティ更新を、公開されしだい必ず適用することをお勧めします。
* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。
【参考訳】