Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

Samsung製Android端末に深刻な脆弱性 - MMSで悪用可能

Samsung製のAndroid端末に深刻な脆弱性が存在し、細工された画像ファイルを処理することで任意のコードを実行されるおそれがあることがわかった。アップデートが提供されている。

同社が2014年後半以降に提供している端末において、画像処理のために独自にAndroid Skiaライブラリへ追加している「Qmageコーデック」の処理に、メモリ域外に書き込みが可能となる脆弱性「CVE-2020-8899」が明らかとなったもの。

同コーデックは、韓Quramsoft(現Fingram)が開発した拡張子が「.qmg」とされる画像フォーマット「QM」「QG」へ対応したもの。

MMSメッセージの受信時など、端末上で同コーデックが自動的に画像を処理するため、細工したファイルを用いることでリモートよりコードの実行が可能になる。

Samsungが提供する「Android バージョンO(8.X)」「同P(9.0)」「同Q(10.0)」に影響があり、共通脆弱性評価システムであるCVSSv3のスコアは最高値となる「10」。「クリティカル(Critical)」とレーティングされている。脆弱性の指摘を受けたSamsungでは5月に公開したアップデートで修正した。

(Security NEXT - 2020/05/15 ) このエントリーをはてなブックマークに追加

PR

関連記事

2020年1Qの脆弱性届け出は263件 - ウェブサイト関連が倍増
2月中旬から「Mirai」亜種が活発化か - JPCERT/CC観測
PW設定に問題あるIoT機器、年間2249件に注意喚起
「雇用調整助成金」の受付システムに不具合 - 他申請者情報が閲覧可能に
Accenture、重要インフラセキュリティのRevolutionary Securityを買収
WP向けプラグイン「Paid Memberships Pro」にSQLi脆弱性
福祉事務所でメール添付ミス、名簿を誤送信 - 糸魚川市
緊急事態宣言解除後のセキュリティチェックリスト - JNSA
組込機器向けセキュリティ製品に新版 - カスペルスキー
「Apache Tomcat」にRCE脆弱性 - 5月公開の最新版で修正済み