19/02/07 12:47:35.36 5RvGuyN4a●.net BE:304868982-2BP(2000)
URLリンク(img.5ch.net)
Androidデバイスに「PNG画像を見るだけでハッキングされてしまう脆弱性」があると判明
2019年2月のセキュリティアップデートにおいて、GoogleはAndroidデバイスに影響を与える脆弱性について報告しました。
Googleは全部で42の脆弱性についてパッチを当てており、そのうち11個の脆弱性が「重大」な深刻度、30個の脆弱性が「高い」深刻度、1個の脆弱性が「中程度」の深刻度でした。
Googleのエンジニアは脆弱性の技術的な詳細について明らかにしていませんが、特に深刻だった3個の脆弱性には「ヒープベースのバッファオーバーフローの欠陥」および「SkPngCodecのエラー」、「PNG画像のレンダリングコンポーネントについての脆弱性」があったそうです。
そして、PNG画像のレンダリングに関する脆弱性が、PNG画像を用いたハッキングを可能にするとのこと。
3個の脆弱性の中で最も危険なのがPNG画像に関する脆弱性であり、「外部の攻撃者が特別な細工を行ったPNG画像を使うことで、遠隔から特権プロセスで任意のコードを実行可能となります」とGoogleは述べています。
攻撃者は悪意のあるPNG画像をメッセージアプリで送り付けたりインターネットからダウンロードさせたり、電子メールで送信したりして、
ユーザーに画像を開くように仕向けるだけで、ターゲットの端末上で任意のコードを実行できるようになるそうです。
なお、PNG画像が悪意のあるコードを仕込まれているかどうかは肉眼で確認できない模様。
Googleはセキュリティアップデートの報告の中で「脆弱性が悪用されたり被害を受けたりしたという報告はありません」と強調しており、Androidパートナーには1カ月前に新たな脆弱性について通知していると述べました。
URLリンク(gigazine.net)