ほぼ全ての Android 端末が該当するという脆弱性がまた発見 – mp3 / mp4 のファイルをプレビューする際には注意

ほぼ全ての Android 端末が影響を被るという Stagefright ライブラリに関連する脆弱性が(また)発見されました。

Android – CVE-2015-6602

既に CVE (CVE-2015-6602)にも登録されていて、注意を促されています。

この現象は、Stagefright ライブラリ 2.0 が持つ2つの脆弱性をついたもので、何らかの形(Web 等)で送られた、意図して加工がされた mp3 オーディオや mp4 ビデオのファイルをプレビューしようとすると、加工された mp3 / mp4 に含まれる任意のコードを実行するコトアできてしまうというものです。

Stagefright ライブラリは、そのバージョンが 1.0 の時にも脆弱性が発見されていますが、今回はバージョン 2.0 の libstagefright においての問題です。

原因を引き起こす加工がされた mp3 / mp4 のファイルはその中の meta データの中に脆弱性を引き起こすコードと、任意に実行するコードが含まれ、これらのファイルを表示した途端に、脆弱性をつかれ感染となってしまいます。

7月にも似たような、Stagefright ライブラリ 2.0 が持つ脆弱性をつく問題については MMS 経由でとのことで、即対応がなされていますが、アプリやブラウザを使用している際に攻撃を受けるという危険性が残っているということになりますね。

恐ろしいことに Android 5.x 以下を実行しているほぼすべての端末が対象となります。

Google の本件に対する対応は、Android 6.0 Marshmallow のリリースと同時に、パッチを提供すると言っているようですが、同社の Nexus 向けとのことなので、言っては悪いが各社の対応がまちまちとなることは事実でしょうから、懸念しています。

対応をされない端末が、沢山出てくると思われます。

動画を見るとか、音楽を聞くなんて、当たり前のように行っていると思うのですが、もしも加工されたファイルに遭遇した際には、ゾッとします。

元記事はこちらの Zimperium Mobile Security (英語)のサイトにありますので、詳細が知りたい方はどうぞ。

minorus

電子機器が大好きです。
プログラムを書くのをお仕事としていたこともあるので、両方できる PIC や Arduino を使って、いろいろな（役にあんまり立たない）ものを作っています。
実は UNIX 関連のお仕事も長かったので、Raspberry Pi もお手の物なのですけれど、これから触る機会が多くなるのかなぁ。
ボチボチ行きますが、お付き合いください。
若いころの写真なので、現時点では、まだ髪の毛は黒くてありますが、お髭は真っ白になりました。
愛車の国鉄特急カラーのカスタムしたリトルカブで、時々、秋月電子通商の八潮店に出没します。