デバイスが仮死状態になるAndroidの新たな脆弱性 - トレンドマイクロが報告

米トレンドマイクロは現地29日、Androidの新たな脆弱性を発見したことを報告した。この脆弱性が悪用されると、Androidデバイスの音がなくなり、電話もできず、画面も反応せず"死んだ"状態になるという。Androidデバイスの半数以上に影響するが、Googleによる修正はまだ行われていないとのことだ。

今回の脆弱性は、Androidが端末上にあるメディアファイルのインデックスを作成するのに使う"mediaserver"というサービスにある。トレンドマイクロによると、mediaserverは.mkv拡張子を持つMatroskaコンテナを使って、加工された動画ファイルを処理できず、そのようなmkv形式のファイルを開こうとすると、クラッシュを引き起こす可能性があるという。この脆弱性は、悪意あるアプリをデバイスにインストールする、もしくは特別に細工したWebサイトにより悪用が可能とのことだ。

影響するのは、Android 4.3"Jelly Bean"以降、最新の”"Lollipop"こと5.1.1まで。Googleが公開するAndroidのDashboardsに基づくと、これは現在利用されているAndroid端末の半分以上を占める。

トレンドマイクロによると、この脆弱性について5月15日にAndroid Engineering Teamに報告したが、Googleはこの脆弱性の優先レベルを低く位置付けており、Androidのオープンソース版「Android Open Source Project(AOSP)」でまだパッチは当てられていないという。Androidについては、95%が影響するという脆弱性がZimperiumにより報告されたばかりだ。