Google、2月の月例パッチで26件の脆弱性を修正
2月5日、Googleは、Androidの月例セキュリティ情報を公開しました。今回のリリースでは、26件の脆弱性が修正されています。
修正された中には、危険度が最も高い「Critical」に指定される脆弱性が4件含まれており、内訳はメディアフレームワーク関連が2件、Qualcommのコンポーネント関連が2件となっています。これらの脆弱性は、端末が遠隔操作される危険性がありますが、悪用されているという情報はないようです。
修正された脆弱性の内訳は以下です。
- メディアフレームワーク関連
- システム関連
- HTCコンポーネント関連
- カーネルコンポーネント関連
- NVIDIAコンポーネント関連
- Qualcommコンポーネント関連
- Qualcommクローズドソースコードコンポーネント関連
今回のパッチには、Qualcommが関わるコンポーネントの脆弱性修正が多く含まれています。偶然数が多かっただけと見ることもできますが、Qualcommは、スマートフォンにとって欠かせないコンポーネントを提供するメーカなので、広い範囲で影響を受けているはずです。
使っている端末のセキュリティレベルがいつ時点かは、「設定」-「端末情報」にある「Android セキュリティパッチレベル」で確認できます。ここに適用されているパッチレベルの日付が表示されています。これが古い日付であれば、端末製造メーカがアップデートを提供していないか確認してください。
Android 7.x Nougatのシェアが最大に
Googleが公開した2018年1月8日までのAndroidのバージョン別シェアによれば、Android Nougat(7.0と7.1)が28.5%となり最大になりました。
2015年10月5日リリースのAndroid 6.0 Marshmallowのシェアは28.1%です。2016年8月22日リリースのAndroid Nougatのシェアに肉薄していますが、今回のシェア逆転で、OSリリースから18ヵ月間かけて世代交代を行いました。
2017年8月21日リリースのAndroid Oreo(8.0と8.1)は、シェア1.1%とわずかですが、2月8日に、au版のXperia X Performance、XZ、XZsへAndroid 8.0へのアップデートが開始されており、新たな世代交代もはじまろうとしています。
OSの新陳代謝が進むのは悪くありませんが問題はこの速度です。
auを例にすると、Android 7.0のときは2017年1月18日からXperia ZXからアップデートが開始されています。今回のアップデートは、前回同様に6ヵ月程度の間を空けて開始されているので、これまでと同じ速度でアップデートが進むことになりそうです。
最新OSへのアップデートはリリースと同時が理想ですが、端末メーカにカスタマイズの余地を残すAndroidの特性上簡単なことではありません。せめて、次世代OSが発表されるGoogle I/Oが開催前までには、各メーカがアップデートを終えるような旗振りをGoogleがしてくれると、開発者も対応OSに頭を悩ませる必要がなくなるはずです。
Chrome 68からHTTPサイトは警告を表示に
2月8日、Googleは今年の7月にリリースを予定している「Google Chrome 68」で、HTTP接続のすべてのサイトを「安全ではないサイト」として扱う方針を明らかにしました。
Google Chrome 68で、HTTP接続のサイトを閲覧すると、アドレスバーの左端に「!」のアイコンに加えて「Not secure」の文字を表示します。HTTP接続は、接続経路で盗聴されて内容を改ざんされる危険はありますが、アドレスバーに「Not secure」と表示するのは、技術的な理由を理解していないユーザが問題を抱えたサイトにアクセスしていると勘違いする可能性があります。
Let's Encryptが手軽に扱えるツールが増えて、HTTPS接続への切替も敷居が低くなりましたが、技術に詳しい人たちばかりがGoogle Chromeを使っているワケではないので、もう一段階、配慮があっても良いのではないかと考えます。
今週は、このあたりで、また来週。