- 2016年1月26日
- セキュリティについて
Google、Linuxカーネルの脆弱性に対処するAndroidの修正パッチを公開
イスラエルのPerception Point 研究チームが、Linuxカーネルにゼロディ脆弱性を発見したことを報告しました。
Android端末の66%に影響するLinuxのゼロデイ脆弱性、イスラエル企業が発見(マイナビニュース)
この脆弱性は、悪用されると権限を昇格してルート権限を得られるというもので、2012年から存在するという。同社は、数千台のLinux PC/サーバとLinuxカーネルを利用しているAndroid OSのデバイスのうち、約66%に影響すると推測している。
その後すぐ21日にGoogleのAndroid Securityよりこの問題に対処するセキュリティパッチをオープンソースで公開されています。
Google、Linuxカーネルの脆弱性に対処するAndroidの修正パッチを公開(Internet Watch)
今回の脆弱性については、Androidセキュリティチームに事前の通告がなかったとして、この問題の重要性については調査を行っているが、影響を受けるAndroid端末の規模は、報告よりもかなり小さいと考えているとしている。
ところで、専門家がよく使う「ゼロデイ攻撃」とは、一体何のことなのでしょう。
単純に言えば、「脆弱性対策のない状態での攻撃」のことです。つまりこちらには対策できることが「使わない」という選択肢しか無い状態で攻撃があることを「ゼロデイ攻撃」といいます。
今回の脆弱性はLinuxという影響度の大きいソフトウェアに対するものであるのみならず、カーネルを流用しているAndroidにも影響があることが重要性を物語っています。
Linux管理者の方は、IP制限などをすることで、対策する必要があるかもしれません。