Googleは11月のセキュリティ情報を公開し、Androidの脆弱性に対する最近のパッチをすべて網羅しましたが、重大なパッチが1つ欠けているようです。「Dirty COW」と呼ばれるLinuxカーネルの脆弱性は、カーネルバージョン2.6.22以降を使用するすべてのLinuxおよびAndroidデバイスに影響を及ぼし、リモート権限昇格を許す「高重大度」のバグであり、既存のOS保護では軽減できません。
10年間のLinuxバグ
Dirty COWは近年のLinuxバグの中で最も深刻なものの一つと考えられています。これは、権限昇格(多くのバグが権限昇格を可能にする)を許すだけでなく、過去10年間のすべてのLinuxおよびAndroidデバイスに影響を与えるためです。さらに悪いことに、非常に古いバグであるため、現在も悪用されている可能性があります(これまで悪用されていなかったとしても、公開された今となっては確実に悪用されるでしょう)。このバグは、これらのデバイスにすぐにパッチが適用されない限り、約15億台のデバイスを攻撃者に攻撃する標的となりますが、Androidの場合、これは言うは易く行うは難しです。
Dirty COWは、このバグがCopy On Write(COW)リソース管理メカニズムに影響を及ぼすことから名付けられました。権限のないローカルユーザーが、本来は読み取り専用メモリへの書き込みアクセス権を取得し、システム上での権限を昇格させる可能性があります。
このバグは5月に初めて発見されたが、潜在的な攻撃者を含むすべての人が知る前に修正プログラムを作成するというセキュリティ研究者の協調的な取り組みの結果、先月になって公表された。
Dirty COWパッチがAndroidでまだ利用できない理由
Linuxユーザーは既にDirty COWパッチの適用を開始していますが、Androidユーザーはそう幸運ではありません。GoogleはAndroidの脆弱性に対する新しいパッチをOEMに提供してから1か月後にリリースするため、Dirty COWパッチは11月のセキュリティアップデートには含まれませんでした。このプロセスは、GoogleがOEMと調整を行い、Googleがパッチを公開するのとほぼ同時にOEMが自社デバイス向けのパッチをリリースできるようにするために存在します。
協調的なリリースにより、少なくとも一部のデバイスでは公開された脆弱性が修正されます。しかし、アップデートが提供されない(またはしばらく提供されない)デバイスは、新たなソフトウェアの欠陥を悪用する新たな攻撃にさらされる可能性があります。
11月のアップデートで修正されたその他の重大な欠陥
Androidチームは、最新バージョンのAndroid自体に重大な脆弱性を2件しか発見しませんでした。これは、過去2か月間で改善が見られました。しかし、そのうちの1件は、再びメディアサーバーライブラリに関連するものでした。Android 7.0では、メディアサーバーライブラリの様々なコンポーネントがサンドボックス化されているにもかかわらず、チームは依然としてほぼ毎月、より重大または高深刻度のバグを発見しています。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
このライブラリに加え、グラフィックス、Bluetooth、OpenJDK、システムUI、Androidランタイム、さらにはオペレーティングシステムのBoringSSL暗号化コンポーネントにも、重大度の高い脆弱性と中程度の脆弱性が見つかりました。Googleはまた、Qualcommの暗号化ドライバとカメラドライバ、そしてNvidiaのGPUドライバにも、複数の重大度の高いバグを発見しました。
Google の毎月のセキュリティ情報とパッチは、Android エコシステムのセキュリティにとって大きな前進となっていますが、パッチを適用していない Android デバイスがいかに脆弱であるかも示しています。Google は毎月、重大度が「重大」、「高」、「中」の Android バグを数十件も新たに発見しています。
Google はマルウェア対策サービス (「Verify Apps」) を通じて大多数のユーザーをこれらの攻撃から保護できる可能性がありますが、個人を標的とした攻撃や、実際の感染状況ですぐに特定することが難しい小規模 (ユーザー数 100,000 人未満) の感染に対しては、この方法はそれほど効果的ではない可能性があります。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
