Linuxを搭載したPCやサーバ「数千万台」に影響を与えるゼロデイ脆弱性が新たに発見された。この脆弱性を利用することで、攻撃者はローカルユーザーの権限を最高の「root」(管理者)レベルに昇格できるという。
問題を抱えたコードの一部は「Android」でも使用されているため、このゼロデイ脆弱性はAndroid搭載機器(スマートフォンやタブレット)の66%にも影響を及ぼすことになる。
イスラエルのセキュリティ企業Perception Pointは現地時間1月14日、この脆弱性に関する情報をブログで公開した。ただ、Androidソフトウェアの開発元であるGoogleにこの情報を非公式に伝えていたかどうかは明らかにされていない。
Perception Pointは、複数のLinuxディストリビューションチームと協力し、この脆弱性を利用した概念実証コードを公開したと電子メールに記している。
この脆弱性は2012年から存在しており、Linuxカーネルのバージョン3.8以降に影響を与えるという。なお、同脆弱性はLinuxソフトウェアのカーネルに埋め込まれているキーリングの処理に潜んでいる。同脆弱性を突くことで、攻撃者はLinuxカーネル上でのコードの実行や、キャッシュされている機密データ(暗号鍵や認証鍵が書き込まれている可能性もある)の窃盗が可能になる。
Perception Pointによると、この脆弱性が実際に悪用された事例は把握していないという。
同脆弱性に対するパッチは、ほとんどのLinuxディストリビューションで1月19日にリリースされる見込みだ。
Googleが、Perception Pointのブログ公開前に同脆弱性の存在を把握していたとは考えにくいが、Googleも月例セキュリティアップデートの一環としてパッチをリリースすることになるだろう。
Googleの広報担当者からコメントを得ることはできなかった。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
