旧機種のAndroid標準ブラウザに深刻な脆弱性!auの4機種以外は修正済み
Androidに内蔵されたWebページレンダリングエンジンに「任意の Java のメソッドが実行される」という極めて深刻な脆弱性があることが発表された。
脆弱性情報サイトJVN(Japan Vulnerability Notes)で該当機種などの情報がまとめられている。また、発見者のブログに原因箇所の説明などが、中国の脆弱性情報サイトWooYun.orgには実証コードが掲載されている。
この脆弱性が存在する端末では、細工されたWebページにアクセスすると、ブラウザが保存しているパスワードの不正送信など、様々な動作をブラウザ上で勝手に実行させられてしまう。
動作を実行するのはブラウザなので、ブラウザにパーミッション(権限)が与えられていない動作は実行できないが、標準ブラウザには「連絡先の読み取り」の権限も与えられているので、電話帳を流出させることも出来てしまうようだ。
標準ブラウザだけでなく、RSSリーダーなどに内蔵されたWebページ表示機能も、Androidのレンダリングエンジンを利用している物が多く、同様の脆弱性が存在する。
影響を受けるのは、Android 3.0から4.1.xを搭載した機種とのことで、2011年夏~2012年冬頃に発売された機種が該当する。2013年以降に発売された機種は、最初から修正済みのようだ。
NTTドコモとSoftbankから発売の機種は、多くの機種で2013年夏頃までに、一番遅かった富士通の「F-09D ANTEPRIMA」も2013年12月16日に、全ての機種で脆弱性を修正するソフトウェアアップデートが提供済みとなっているので、必ずアップデートしておこう。
auのスマホでは、「HTC EVO 3D ISW12HT」「MOTOROLA RAZR IS12M」「MOTOROLA XOOM TBi11M」「URBANO PROGRESSO」の4機種が、修正プログラム未提供(提供検討中)のままとなっている。
これらの機種を使っている人は、FirefoxやChromeなど自前のレンダリングエンジンを搭載したブラウザを使用し、RSSリーダーなど標準レンダリングエンジンを利用して不特定多数のページを表示するアプリの使用は控えるようにした方がいいだろう。
・JVN#53768697: Android OS において任意の Java のメソッドが実行される脆弱性
・いまさらブログ: Androidの脆弱性を見つけちゃった話
・小米手机自带浏览器远程命令执行漏洞(可挂马) | WooYun-2013-36258 | WooYun.org
auの4機種を除くほとんどの機種では、システムアップデートでこの脆弱性を修正できる。該当機種でなくても、システムアップデートは重要だ。アプリ開発の検証用など特別な理由がなければ、面倒くさがらずに迅速に適用するようにしよう。
auの以下の4機種は修正パッチが未提供だ。FirefoxやChromeなど、独自のレンダリングエンジンを内蔵したブラウザを使うようにしよう。
HTC EVO 3D ISW12HT
URBANO PROGRESSO
MOTOROLA RAZR IS12M
MOTOROLA XOOM TBi11M
・Japan Vulnerability Notes/KDDI株式会社からの情報
・Chromeブラウザ-Google – Google Play の Android アプリ
・Firefox モバイルブラウザ – Google Play の Android アプリ
関連記事
Android標準ブラウザに他サイトのユーザーデータを盗み取れる脆弱性
バージョン5.0未満のAndroidにシステム権限で任意のコードを実行できる脆弱性
Android4.1以降に権限を持たないアプリでも電話を掛けられる脆弱性
Baidu(百度)製のソフトウェア開発キットに深刻な問題が見つかる
Android 4.3以前のWebViewの脆弱性はもう修正されない!?
ドコモから発売された機種のAndroid 4.1/4.2へのアップデート予定が発表
docomo2014年冬~2015年春モデル発表!スマホ6機種とタブレット2機種
auから2014年夏の新機種としてスマホ6機種、タブレット2機種が発表!
ドコモメールにブラウザ版とIMAPが実装され、ついにパソコンからも利用可能に!
2013年12月19日02時20分 公開 | カテゴリー: セキュリティ | キーワード:おすすめ, ニュース | Short URL
ツイート
最新記事
- L字端子でゲームや動画に最適!充電しながら使いやすいLightningケーブル!
- ビーズのついたLightningケーブル!ネックレスのようなケーブルでiPhoneの充電を!
- 充電中にケーブルが光る!?照明代わりにもなるUSB-Cケーブル!
- 誰もが持ちたくなる可愛い充電器!USB-Cポートで急速充電!
- 幅広い互換性!コンパクトな急速充電器!
- ペットのように愛着が湧くデザイン!独創的なBluetoothスピーカー!
- 美しいスタイルとサウンドの両立を実現!蓄音機のようなビジュアルのBluetoothスピーカー!
- 驚きの高音質とコスパ!コンパクトなポータブルスピーカー!
- ワイヤレスで気軽に音楽を楽しめる!IPX6防水のBluetoothスピーカー!
- 20000mAh大容量&35W高速充電!コンセント搭載のモバイルバッテリー!
- USB-Cポートが2つ!2台同時充電ができる便利なUSB-Cケーブル!
- 冬用電気ヒーター付き電気シュラフ!着ながら作業すれば暖房いらず!
- USB給電式の寝袋用発熱パッド!寒い冬の節電アイテムに!
- 仕事もゲームも健康的にスマートに!快適なポジショニングに調整できるリストレスト!
- 簡単設置のテーブル収納ラック!デスクの小物をすっきり整理!
- 簡単取り付け&効率アップ!デスクに収納をプラス!
- 冷却機能付きのワイヤレス充電器!しっかり冷やしながらスマホを充電!
- 冷却ファンでがっつり冷やす!冷やしながら充電出来るスマホスタンド!
- 冷却・充電・スタンドの3Way仕様!スマホを冷やしながら充電!
- セミハードタイプのマルチコンテナ!収納物をしっかり守る!
- iPhone、Apple Watch、AirPodsの充電はこれ1つで!Qi2高速ワイヤレス充電で快適な充電体験を!
- 外の世界にも耳を澄ませるオープンイヤーワイヤレスイヤホン!極上の音楽体験を!
- 雲のように柔らかく快適!耳をふさがないイヤーカフ型イヤホン!
- 耳に挟むだけのワイヤレスイヤホン!周りの音を聴きながら高音質な音楽を楽しめる!
- Bluetooth5.4搭載のイヤーカフ型ワイヤレスイヤホン!60時間の長時間再生可能!
- 時計で電話にも出れる!一回の充電で長期間使えるスマートウォッチ!
- 合計最大240W出力!Ankerのハイスペックな充電器!
- アイデア次第で使い方無限大!柔らかいシリコン製のケーブルクリップ!
- 摩耗、引き裂き、すり切れに強い!たくさん入るガジェットポーチ!
- 9台の機器を同時充電可能!Ankerのチャージングステーション!