Android月例セキュリティアップデート(2016年1月)がリリース、「Mediaserverにおけるリモートコード実行の脆弱性の修正」他

160110a

Androidの月例セキュリティパッチ、Nexus Security Bulletin January 2016がリリースされました。
本記事では、修正された脆弱性の一覧とその概要について掲載します。

修正された脆弱性一覧

脆弱性の内容CVE緊急性対象バージョン
Mediaserverにおける、リモートコード実行の脆弱性CVE-2015-6636重要5.0、5.1.1、6.0、6.0.1
misc-sd driverにおける、権限昇格の脆弱性CVE-2015-6637重要4.4.4、5.0、5.1.1、6.0、6.0.1
Imagination Technologies driverにおける、特権昇格の脆弱性CVE-2015-6638重要5.0、5.1.1、6.0、6.0.1
Trustzoneにおける、特権昇格の脆弱性CVE-2015-6639、CVE-2015-6647重要5.0、5.1.1、6.0、6.0.1
Kernelにおける、特権昇格の脆弱性CVE-2015-6640重要4.4.4、5.0、5.1.1、6.0
Bluetoothにおける、特権昇格の脆弱性CVE-2015-66416.0、6.0.1
Kernelにおける、情報漏洩の脆弱性CVE-2015-66424.4.4、5.0、5.1.1、6.0
Setup Wizardにおける、特権昇格の脆弱性CVE-2015-66435.1.1、6.0、6.0.1
Wi-Fiにおける、特権昇格の脆弱性CVE-2015-53104.4.4、5.0、5.1.1、6.0、6.0.1
Bouncy Castleにおける、情報漏洩の脆弱性CVE-2015-66444.4.4、5.0、5.1.1、6.0、6.0.1
SyncManagerにおける、サービス拒否の脆弱性CVE-2015-66454.4.4、5.0、5.1.1、6.0
Nexus Kernelsが攻撃を受ける危険性への対策CVE-2015-66466.0

修正された各脆弱性の概要

Mediaserverにおける、リモートコード実効の脆弱性

mediaserverで悪意のあるイメージファイルを開くと任意のプログラムが実行される脆弱性

misc-sd driverにおける、権限昇格の脆弱性

MediaTek misc-sd driverに存在する、悪意のあるアプリケーション経由で特権昇格される脆弱性

Imagination Technologies driverにおける、特権昇格の脆弱性

Imagination Technologies driverに存在する、悪意のあるアプリケーション経由で特権昇格される脆弱性

Trustzoneにおける、特権昇格の脆弱性

Widevine QSEE TrustZoneアプリケーションに存在する、悪意のあるアプリケーション経由で特権昇格される脆弱性

Kernelにおける、情報漏洩の脆弱性

Android Kernel(kernel/sys.c) のprctl_set_vma_anon_name関数に、vmaだけが特定の更新アクションを行うことが保証されていないため、悪意のあるアプリケーション経由で特権昇格される脆弱性

Bluetoothにおける、特権昇格の脆弱性

Bluetooth機能に存在する、ペアリングの影響により機密性の高い連絡先情報を攻撃者が取得できる脆弱性

Kernelにおける、情報漏洩の脆弱性

Kernelに存在する、機密情報を取得し、未指定の暗号化メカニズムをバイパスすることで、暗号化解除される脆弱性

Setup Wizardにおける、特権昇格の脆弱性

Setup Wizardに存在する、設定を変更したり、不特定のベクタ経由でリセットを保護する機能をバイパスする脆弱性

Wi-Fiにおける、特権昇格の脆弱性

Wi-Fi機能に存在する、ローカルの物理的な環境へアクセスすることを活用することにより、Wi-Fiに関する機密情報を取得される脆弱性

Bouncy Castleにおける、情報漏洩の脆弱性

Bouncy Castleに存在する、悪意のあるアプリケーション経由で機密情報が取得される脆弱性

SyncManagerにおける、サービス拒否の脆弱性

SyncManagerに存在する、悪意のあるアプリケーション経由でAndroidデバイスを無限リブートされる脆弱性

Nexus Kernelsが攻撃を受ける危険性への対策

KernelのSystem V IPC実装に存在する、IPC resource allocationとMemory managerとの間の不適切な相互作用を活用し、Global Kernel resourceを消費させる脆弱性

Androidとセキュリティ

スマートフォンに対する攻撃が増加

最近では、スマートフォン上でネットバンキングを利用したり、仕事用の連絡先情報などを保存するといった用途も増えてきています。
それを狙った悪意のある第三者が、あの手この手を使って情報の詐取や破壊を行おうとしています。

Googleが対策するも…

悪意のあるユーザーからAndroid端末を守るために、Googleは月例セキュリティパッチを配信しています。しかしながら、Googleが月例セキュリティパッチを配信しても、各スマートフォンの開発メーカーがそれらを配信しない(サポート期間が終了した等の理由で)というケースが目立ちます。

今ではパソコンと同じ役目を果たすようになったスマートフォン。各メーカーには、その状況を把握した上で今のサポート体制について検討して頂きたいなぁと思う今日この頃です。

Android Open Source Project
Common Vulnerabilities and Exposures

こちらもおすすめ

  • Xiaomi Mi Notebook Air 1ヶ月使い倒しレビュー! デザイン、性能、価格を兼ね備えた心強い相棒

    Xiaomi Mi Notebook Air 1ヶ月使い倒しレビュー! デザイン、性能、価格を兼ね備えた心強い相棒

  • 調査結果:Androidスマートフォンで最も買って良かったのは「Nexus 5」、失敗だったのは「REGZA Phone IS04」

    調査結果:Androidスマートフォンで最も買って良かったのは「Nexus 5」、失敗だったのは「REGZA Phone IS04」

  • あわせて読みたい

    いま、注目の記事

    Geeklesの最新記事

    話題の最新ガジェット

    この記事へのコメント

    この記事にはまだコメントは付いていません。

      Geekles(ギークルズ)をフォロー

      Geeklesはたくさんのガジェット好き(=ギーク)が集まり、ガジェットやオーディオ、アプリ、カメラに関する情報を発信するメディアです。