2015年8月20日 10:30
Androidのコンポーネント「Mediaserver」に新たな脆弱性 - TrendMicro
トレンドマイクロは8月18日、Android端末の標準コンポーネント「Mediaserver」に存在する新たな脆弱性「CVE-2015-3842」を確認したとセキュリティブログで明かした。この脆弱性を悪用する攻撃者は、Mediaserver プログラムが標準として備えるパーミッションと同等のパーミッションで任意のコードを実行できる可能がある。
脆弱性はAndroidのバージョン2.3~5.1.1が影響を受ける。Googleは「Android Open Source Project (AOSP)」を通じて、この脆弱性に関する詳細な情報と修正プログラムを公開した。2015年8月17日時点、この脆弱性を悪用した攻撃は確認されていない。
この脆弱性は、Mediaserver プログラムのコンポーネント「AudioEffect」に存在している。コンポーネントは、クライアント(通常はアプリ)から送信される未確認の変数を使用する。
攻撃を開始するために、攻撃者はアプリをユーザにインストールさせる。
このアプリはパーミッションを必要としないため、ユーザーにセキュリティ上問題がないと思われている。
脆弱性は「pReplyData」