アカウント名:
パスワード:
http://srad.jp/~shibuya/journal/518481 [srad.jp]
88個のやつは脆弱性ではなく、静的解析で見つかった脆弱性がある可能性が高い処理です。まだ詳細も修正パッチも出ていませんので、実際に攻撃可能であるかは不明。現在Androidセキュリティチーム・OEM・セキュリティ調査者によってレビュー&修正中で、詳細は二ヶ月後に公開される予定です。http://blog.coverity.com/open-source/launch-of-the-coverity-scan-2010-... [coverity.com]
それよりも、AndroidのWebKitでリモート脆弱性実証コードが出てきています。誰でも直ぐに悪用できるため、こっちの方が危険です。http://www.exploit-db.com/exploits/15423/ [exploit-db.com]http://www.exploit-db.com/exploits/15548/ [exploit-db.com]既に修正済みの脆弱性であるCVE-2010-1807を使ったものですが、脆弱性に対応するパッチがあてられていないAndroidが多数存在しているらしく…。http://cyberlaw.cocolog-nifty.com/blog/2010/11/android-eb7b.html [cocolog-nifty.com]国内端末のセキュリティ更新状況はどうなのでしょうか。
でも国内端末ってハッカー少ないんですよね―
# 購入を踏みとどまっててよかった
ガラパゴス言いたいだけ?
1.6で止まったってコトは独自の生態系で別系統に進化していくわけじゃないよね
只の袋小路。
ここは日本風にオオサンショウウオAndroidっていうのはどうだろう?
#異論も求む
/.J民だって、
Linuxカーネルだのlibcだのの脆弱性を突いてローカル、場合によっちゃユーザ操作ありのリモート環境からroot特権を得た上でバイナリしか公開されてないLSMをバイパスして自前でビルドしたカーネルをkexecで起動、オンボードストレージを全領域PCへダンプ&解析してブートローダを改造、無署名カーネルまたは第三段ブートローダをNANDフラッシュに仕込んで移植したAndroid 2.2で起動、
なんてことできる人なんかいそうにないじゃないですか。
技術者はどこへ行ってしまったんでしょう。本家? Reddit?
その手の不毛なハックをなるたけしないでもいいように技術というのは進歩するものなので、その手の技術は専門化され一部の人に集約され、最後には自動化され、あるいは取り除かれていくのが通常の流れ。
それを技術的でない理由に基づく不毛な制約から、その手の不毛なハックが広く求められるような現況の方が嘆かわしい。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
88個の深刻なkernel 脆弱性は未出? (スコア:1)
http://srad.jp/~shibuya/journal/518481 [srad.jp]
Re:88個の深刻なkernel 脆弱性は未出? (スコア:2, 参考になる)
88個のやつは脆弱性ではなく、静的解析で見つかった脆弱性がある可能性が高い処理です。
まだ詳細も修正パッチも出ていませんので、実際に攻撃可能であるかは不明。現在Androidセキュリティチーム・OEM・セキュリティ調査者によってレビュー&修正中で、詳細は二ヶ月後に公開される予定です。
http://blog.coverity.com/open-source/launch-of-the-coverity-scan-2010-... [coverity.com]
それよりも、AndroidのWebKitでリモート脆弱性実証コードが出てきています。誰でも直ぐに悪用できるため、こっちの方が危険です。
http://www.exploit-db.com/exploits/15423/ [exploit-db.com]
http://www.exploit-db.com/exploits/15548/ [exploit-db.com]
既に修正済みの脆弱性であるCVE-2010-1807を使ったものですが、脆弱性に対応するパッチがあてられていないAndroidが多数存在しているらしく…。
http://cyberlaw.cocolog-nifty.com/blog/2010/11/android-eb7b.html [cocolog-nifty.com]
国内端末のセキュリティ更新状況はどうなのでしょうか。
なるべく脆弱性が残ってることを祈る (スコア:2)
でも国内端末ってハッカー少ないんですよね―
# 購入を踏みとどまっててよかった
Re:なるべく脆弱性が残ってることを祈る (スコア:1)
Re:なるべく脆弱性が残ってることを祈る (スコア:1)
ガラパゴス言いたいだけ?
1.6で止まったってコトは
独自の生態系で別系統に進化していくわけじゃないよね
只の袋小路。
ここは日本風にオオサンショウウオAndroidっていうのはどうだろう?
#異論も求む
Re: (スコア:0)
しかし現実は非情 (スコア:2)
/.J民だって、
Linuxカーネルだのlibcだのの脆弱性を突いてローカル、場合によっちゃユーザ操作ありのリモート環境からroot特権を得た上でバイナリしか公開されてないLSMをバイパスして自前でビルドしたカーネルをkexecで起動、オンボードストレージを全領域PCへダンプ&解析してブートローダを改造、無署名カーネルまたは第三段ブートローダをNANDフラッシュに仕込んで移植したAndroid 2.2で起動、
なんてことできる人なんかいそうにないじゃないですか。
それなら (スコア:2)
技術者はどこへ行ってしまったんでしょう。本家? Reddit?
技術の進歩とは (スコア:1)
その手の不毛なハックをなるたけしないでもいいように技術というのは進歩するものなので、
その手の技術は専門化され一部の人に集約され、最後には自動化され、あるいは取り除かれていくのが通常の流れ。
それを技術的でない理由に基づく不毛な制約から、その手の不毛なハックが広く求められるような現況の方が嘆かわしい。