Android修正パッチ配布!今回は主に3点の修正

Android修正パッチ配布!今回は主に3点の修正米Google社は2月4日、Androidユーザーに対して配布する脆弱性修正パッチの内容を明らかにしました。今回の主な修正は3点あります。

ヒープベースのバッファオーバーフローの欠陥」「SkPngCodecのエラー」「PNG画像のレンダリングコンポーネントについての脆弱性」です。

 

そのうち「PNG画像のレンダリングコンポーネントについての脆弱性」に関しては危険レベルとしては最高である「Critical」に指定されています。

各キャリアから配布される修正パッチは忘れずにインストールしましょう。

なお、今回発見された脆弱性によるハッキング等の被害は今の所報告されていません。

 

ヒープベースのバッファオーバーフローの欠陥

 

ヒープベースのバッファオーバーフローの欠陥

 

バッファオーバーフローは通常のメモリ領域を超えてバグが起こること全般を指しますが、ヒープオーバーフローはその中でもヒープ領域からデータが溢れ、本来記録されない領域に記録されることを指します。そしてそれによって外部からの攻撃を受ける危険性があるのです。

 

スマートフォンやコンピューターがプログラムを実行するときに、実行するのに必要な分だけその都度領域を解放し情報を書き込む場所を「ヒープ」と言います。あらかじめ領域を確保しておくのではなくその都度解放することで、OSへの負担を減らしスムーズにマシンが動作するようにしているのです。

 

しかし、このヒープ領域を使うプログラムが大量に入力された場合に、ヒープだけでは足りずに通常は使われないヒープ領域に隣接するメモリが解放されることがあります。

そこにプログラムが書き込まれると、本来であれば管理者にしか行えない操作が行えたり遠隔でコンピューターを操ることが可能になってしまうのです。これがヒープオーバーフロー攻撃です。

 

Androidはこのヒープ領域に欠陥があることがわかり今回パッチが配布されました。

 

 

PNG画像のレンダリングコンポーネントについての脆弱性

 

PNG画像のレンダリングコンポーネントについての脆弱性

 

この脆弱性は深刻なもので、細工をしたPNG画像ファイルを読み込むとハッキングされてしまうというものです。

画像を読み込むと、通常管理者権限でしか入れないような領域にハッカーが入れるようになり、そこから任意のコードを実行されてしまいます。

 

PNGファイルを見てもハッキングのためのコードが組み込まれているかはわかりません。こういったPNG画像はスパムメールで送信されたり安全性の低いウェブサイトで画像をクリックすることでダウンロードしてしまう危険性があります。

 

 

Androidユーザーは早めに更新を

 

Androidユーザーは早めに更新を

 

今の所被害は報告されていませんが、Androidの修正パッチをまだインストールしていない人はPNG画像には十分注意してください。

修正パッチに関してはこういった脆弱性をサポートするものなので、通常の更新のように「あえて更新しない」という類のものではありません

更新を指示する通知が届いたらもれなく行うようにしましょう!

こちらの記事もご覧ください。