Google Android 4.4 Linux kernel vulnerability patch

グーグル、Android セキュリティを担当する Adrian Ludwig 氏は、Android 4.4 以降の OS バージョンで影響するとする Linux カーネル 3.8 で確認された脆弱性を改善するパッチをオープンソースにて公開し、パートナー企業へ提供を開始したと発表。

■ 対象機種

• Android 4.4 KitKat 以降の OS バージョン

※ ネクサス (Nexus) 端末は Android 5.0 以降は問題なし。

■ グーグルからパッチが提供される端末

• セキュリティパッチレベルが2016年3月1日以降の端末

■ 脆弱性の内容
イスラエルのセキュリティ企業 Perception Point が報告していたもので、識別番号「CVE-2016-0728」とされる Linux カーネル 3.8 に含まれる脆弱性としています。root 権限が取得可能な問題を含んでおり、ゼロデイ脆弱性として話題となっていました。

■ Android 以外の端末にも影響
Android OS だけではなく、Linux カーネル 3.8 を搭載したパソコンなど全てに影響するとしています。Android 端末ユーザー全体の66パーセントが影響を受けるとしていますが、悪用された事例は特にでておらず、現時点では影響は小さいとしています。

■ ネクサス端末の場合は 5.0 以降は問題なし
Perception Point 社によると、Android 4.4 以降バージョンで Linux カーネル 3.8 の脆弱性が確認されたとしていますが、グーグルの Adrian Ludwig 氏によると、ネクサス端末に関しては Android 5.0 以降のバージョンでは Android SELinux ポリシーにより脆弱性はないとしています。そのため、対象は 4.4 以降 5.0 未満の端末となっているようです。

Adrian Ludwig – Google+
https://plus.google.com/+AdrianLudwig/posts/KxHcLPgSPoY

CVE-2016-0728 – Perception Point
http://perception-point.io/2016/01/14/