JPCERTコーディネーションセンター(Japan Computer Emergency Response Team Coordination Center:JPCERT/CC)は5月15日、「JVNVU#95200006: Samsung Qmage codec for Android Skia library にメモリ破壊の脆弱性」において、Samsungの提供するQmage codec for Android Skia libraryに脆弱性が存在すると伝えた。
この脆弱性を悪用されると、画像ファイルの検証によってメモリ破壊が発生し、最終的に任意コードが実行される危険性があるとされている。脆弱性に関する情報は次のページにまとまっている。
- VU#366027 - Samsung Qmage codec for Android Skia library does not properly validate image files
- 2002 - Samsung Android multiple interactionless RCEs and other remote access issues in Qmage image codec built into Skia - project-zero
脆弱性が存在するとされるプロダクトおよびバージョンは次のとおり。
- Android O (8.x)
- Android P (9.0)
- Android Q (10.0)
Google Project Zeroによるファジングテストにおいて、メモリ破壊が発生するケースが1500件以上発見されている。そのうち1件は、細工されたMMSメッセージを対象デバイスに送信することが発生することが確認されたと報告されており、注意が必要。JPCERT/CCは必要に応じてアップデートを適用することを推奨している。