ニュース - 国内向けAndroid端末の複数機種にDoS攻撃を受ける脆弱性が見つかる、IPAなどが公表:ITpro(情報元のブックマーク数)
大規模に影響するAndroidの脆弱性みたい、各社のページ見ても脆弱性に対応って一言も書いてないんだね。
情報処理推進機構(IPA)のセキュリティセンターとJPCERTコーディネーションセンター(JPCERT/CC)は2012年11月14日、主に国内メーカーが製造した国内向けAndroid端末の複数機種に、DoS(Denial of Service、サービス妨害)攻撃を受ける可能性につながる脆弱性が見つかったことを公表した。
国内向けAndroid端末の複数機種にDoS攻撃を受ける脆弱性が見つかる、IPAなどが公表 | 日経 xTECH(クロステック)
両組織が共同で運営している脆弱性情報公開サイト「JVN」(Japan Vulnerability Notes)に同日付けで掲載された情報(JVN#74829345)によると、同脆弱性は「Android OSを搭載した一部の端末に、特定のシステム領域を参照する際の処理に問題があり、これを悪用されるとDoS攻撃を受ける危険性がある」というもの。フォティーンフォティ技術研究所の大居司氏が発見してIPAに報告した。
具体的に、同脆弱性を利用したDoS攻撃の流れは次のようになる。まずクラッカ(悪意のあるユーザー)は、同システム領域を参照するリンクを張った“罠Webページ”をネットワーク上に設置する。そして、この罠Webページに脆弱性を持ったAndroid端末ユーザーがアクセスするように誘導する。誘導されたユーザーがリンクを特定の操作で開くと脆弱性を突く攻撃が発動し、Android端末が異常終了してしまう。なお、JVNによれば、「同脆弱性は該当端末の実装に依存する問題であり、Androidエミュレータ上で実行しても問題は生じない」という。