btzgrp
  • Kubernetes 構成ファイルを素早く検証する方法 - TechRepublic
Headlines

Android セキュリティアップデート 2016年3月:知っておくべきこと - TechRepublic

05 mins
Android セキュリティアップデート 2016年3月:知っておくべきこと - TechRepublic

2016年3月のAndroidセキュリティアップデートには、6つの重大な問題が含まれています。ジャック・ウォーレンが主な問題点を解説し、デバイスが最新かどうかを確認する方法を紹介します。

Googleは毎月Androidのセキュリティアップデートをリリースしており、詳細はNexusセキュリティ速報でご覧いただけます。TechRepublicの読者の皆様のために、毎月のアップデートの概要をお伝えします。

早速、2016 年 3 月のブリーフィングをご紹介します。

2016年3月のAndroidセキュリティアップデートのハイライト

このアップデートには16件の問題があり、そのうち6件は重大、8件は高、2件は中程度です。以下に挙げた脆弱性は、Googleが今月パッチを当てた様々な修正を示しています。

重大な脆弱性

セキュリティ更新には、特権の脆弱性、リモート コード実行の脆弱性、リモート サービス拒否の脆弱性、緩和策バイパスの脆弱性などが含まれます。

  • 最も重大な問題は、Mediaserverとlibvpxにおけるリモートコード実行の脆弱性でした。この脆弱性により、第三者がMMSメディアまたはブラウザ再生メディアを利用して、スマートフォンまたはタブレット上で悪意のあるコードを実行できる可能性がありました。Googleは、Android 4.4.4以降のすべてのバージョンに対して修正プログラムをリリースしています。
  • Conscryptにおける権限昇格:この脆弱性により、特定の種類の無効な証明書(中間証明機関が発行したもの)が誤って信頼される可能性があります。この脆弱性により、中間者攻撃、権限昇格、リモートからの任意コード実行といった攻撃が可能になります。
  • MediaTek Wi-Fi カーネル ドライバーにおける権限昇格の脆弱性: Wi-Fi カーネル ドライバーには、ローカルの悪意のあるアプリケーションがカーネル内で任意のコードを実行し、権限を昇格できる脆弱性が含まれていました。

高い脆弱性

  • カーネルの情報漏洩の脆弱性:この脆弱性により、導入されているセキュリティ対策 (特権プロセスの ASLR など) がバイパスされ、プラットフォームの悪用の難易度が上がる可能性があります。
  • libstagefright の情報漏洩脆弱性:この脆弱性により、導入されているセキュリティ対策 (署名または SignatureOrSystem 権限など) をバイパスできる可能性があり、攻撃者がプラットフォームを悪用することが困難になる可能性があります。
  • Widevine の情報漏洩脆弱性:この脆弱性により、カーネル コンテキストで実行されているコードが TrustZone のセキュア ストレージ内の情報にアクセスできる可能性があります。
  • Bluetoothにおけるリモートサービス拒否脆弱性:この脆弱性により、近接する攻撃者が影響を受けるデバイスへのアクセスをブロックできる可能性があります。その結果、特定されたBluetoothデバイスでオーバーフローが発生し、メモリ破損やサービスの停止につながる可能性があります。

中程度の脆弱性

  • テレフォニーにおける情報漏洩の脆弱性:この脆弱性により、アプリケーションが機密情報にアクセスできる可能性があります。
  • セットアップ ウィザードにおける権限昇格の脆弱性:この脆弱性により、影響を受けるデバイスに物理的にアクセスできる攻撃者が手動でデバイスのリセットを実行できる可能性があります。

デバイスに最新のアップデートが適用されているか確認する

この記事の執筆時点では、セキュリティアップデートはまだすべてのデバイスに配信されていません。私のVerizonブランドのNexus 6にはまだアップデートが適用されていません。

お使いのデバイスが最新のセキュリティパッチにアップデートされているかどうかを確認するには、「設定」>「端末情報」に移動し、「Android セキュリティパッチレベル」までスクロールダウンしてください。「2016年3月1日」と表示されている場合、デバイスは最新です。「2016年2月1日」と表示されている場合は(図A)、定期的に確認して、アップデートがデバイスに確実に適用されていることを確認してください。「設定」>「端末情報」>「システムアップデート」に移動し、「アップデートを確認」をタップすることもできます。

図A

私のデバイスには 2016 年 3 月のアップデートがまだ表示されません。

修正された内容の完全なリストについては、2016 年 3 月のセキュリティ更新速報をご覧ください。

2016年4月のセキュリティアップデートのまとめは来月公開予定ですので、ぜひご覧ください。それまではAndroidデバイスを最新の状態に保ってください。

記事をシェア

こちらもご覧ください

  • Google、Androidの重大なバグをさらに修正:Nexus、BB Privのパッチ準備完了
  • Androidデバイスを安全に保つための10の注意点
  • Belarc セキュリティアドバイザーで Android デバイスの脆弱性をチェックしましょう
  • Android MarshmallowのSmart Lockをパスワードに使う方法
  • Android Marshmallowで多くの要望があったアプリ権限の使い方
  • Android Marshmallow: 賢い人のためのガイド
ジャック・ウォーレンの画像

ジャック・ウォーレン

ジャック・ウォーレンは、TechRepublic、The New Stack、Linux New Mediaなどで受賞歴のあるライターです。20年以上にわたり様々なトピックを執筆し、オープンソースの熱心な推進者でもあります。ジャック・ウォーレンに関する詳細は、ウェブサイトjackwallen.comをご覧ください。

Tagged:

Related News