グーグル、Linuxカーネル脆弱性に対処する「Android」用パッチ公開--影響は当初予測より小規模か

　米国時間1月19日にイスラエルのセキュリティ企業Perception PointらがLinuxカーネルのゼロデイ脆弱性（CVE-2016-0728）を報告したことを受け、Googleが「Android」のパッチを準備したことを明らかにした。

　GoogleでAndroid Securityを担当するAdrian Ludwig氏は21日、Androidのパッチをオープンソースで公開し、パートナー各社にも提供したことを明らかにした。Androidセキュリティパッチレベルが2016年3月1日以降の全端末が対象だという。

　同氏は投稿で、「Nexus」端末は、サードパーティーアプリによってこの脆弱性が悪用されることはないはずだと述べている。また、「Android 5.0」以降も「Android SELinux」のポリシーによりサードパーティーアプリが問題のコードにアクセスできないため問題の影響を受けないほか、「Android 4.4」以前のバージョンを稼働する端末の多くは、Linuxカーネル3.8で導入された脆弱性を含まないと説明している。

　投稿では、Perception Pointが脆弱性を公開する前に、Androidソフトウェアの開発元であるGoogleに情報が伝えられていなかったことにも触れている。Googleは脆弱性の影響について現在調査中だとする一方で、影響を受けた端末の数は、最初に報告された数字よりもかなり少ないと認識していると述べた。Perception Pointは、Android搭載機器の66％に影響するという見解を示していた。