何百万台ものPCと携帯を危険に晒すLinuxのバグ

160121_linuxbug.jpg

危険そうなリンクには今までより警戒したほうがいいかも。

Linuxには約3年ほど見過ごされてきたバグがあり、機器のほぼ全てを乗っ取られてしまう危険性があるとセキュリティ研究者が警告しています。このバグが影響すると考えられるのは、数百万、数千万台にも及ぶコンピューターとサーバー、そして66%のAndroidスマートフォンとタブレットです。

Perception Pointによると、新しく発見されたバグ「CVE-2016-0728」は、Linuxのキーリングに存在します。これはセキュリティデータや認証キー、暗号化キーなどの保存に使われるもので、普通のアプリでは簡単に使用できません。しかしPerception Pointのチームはバグを発見し、それを元に概念実証用のアタックを作り上げ、一時的にメモリに保管されているキーリングの中の物を自分のコードとすり替える事に成功しました。

すり替えられたコードは、CPUが処理を行えるようソフトウェアの入出力リクエストを変換するOSの根幹、カーネルによって実行され、サーバーのroot権限を得たり、AndroidスマートフォンのOSを完全に支配したり、ルーター等のようにLinuxが埋め込まれたハードを攻撃する事にすら使えるようになってしまいます。

バグは、2013年にリリースされたバージョン3.8のLinuxカーネルに影響する為、AndroidでもKitKat以降の全てのOSに影響します。Perception Pointは、「このバグを利用した実際の攻撃はまだ確認していない。」としていますが、「セキュリティチームには、バグの影響があると思われる機器を検査し、パッチを即座に開発する事」を推奨しています。

Ars Technicaによれば、大手のLinuxディストリビューションは今週中にもバグフィックスを導入できると見られていますが(Ubuntuに関しては既にアップデートが公開されています)、Androidのデバイスに関しては時間がかかる事が予想されます。変なリンクや怪しげな添付には、今まで以上に注意しましょう!

source: Perception Point via Ars Technica

image: Mike Holloway

Jamie Condliffe - Gizmodo US [原文]

(scheme_a)