アカウント名:
パスワード:
部品供給を販売終了後5年と義務付けるなら、アップデートの方もそっちに合わせてくれよ。今時のスマホ、ハードだけ無事でも片手落ちだぞ。
まぁ、スマホだとアップデート打ち切られたところでセキュリティ屋が言うほど弱くないんだけどね。 何かやられるとしてもブラウザ経由だし、ブラウザのアップデートは結構長く続くので「危険なサイト」としてすぐブロックされてしまう。
あとサードパーティのアプ
何かやられるとしてもブラウザ経由だし
クローズドソースコンポーネント「せやな」Bluetooth「せやな」Linux Kernel「んなわけあるか!」
# 表でアプリ起動してなくても食らう穴はいっぱいあるんよ
そうなのか?iOSはよく知らないけど、Androidでは割とヤバい脆弱性がブラウザ外でたびたび見つかっている気がする…。
自分が最初にびっくりしたのは、2015年のStagefrightの脆弱性かな。(SMSを受信するだけで乗っ取られる)その後も例えば CVE-2020-0022(Android Bluetoothサブシステムで任意コード実行の脆弱性) とか。
#といろいろググってたら、今年8月のパッチでもBluetoothのリモートコード実行の脆弱性が修正されているみたいですね。
Stagefrightはデカかったけどbluetoothとか隣接して攻撃する必要があるので悪用事例が見つかってないしCVSSでも「緊急」扱いしてない。 リモートから容易に権限奪取できる問題以外だと標的型で狙われやすい立場を除けばたいした脅威にはならないのが現実。
自己レスだが、 やるらしい。 [gigazine.net]
欧州議会が2022年8月に公開した草案には、ハードウェア面だけでなくソフトウェア面でも長期のサポートを義務付ける項目が含まれており、法案が可決すればデバイスメーカーには「5年間のセキュリティアップデート」と「3年間のOSアップデート」が義務付けられることとなります。また、「アップデートがいつまでたっても配布されない」という事態を防ぐべく、「OSやセキュリティのアップデートが公開されてから2カ月以内にユーザーへ配信する」ということも義務付けら
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
「最低 3 年間の OS アップデート (セキュリティ/機能) 提供」 (スコア:0)
部品供給を販売終了後5年と義務付けるなら、アップデートの方もそっちに合わせてくれよ。
今時のスマホ、ハードだけ無事でも片手落ちだぞ。
Re: 「最低 3 年間の OS アップデート (セキュリティ/機能) 提供」 (スコア:0)
まぁ、スマホだとアップデート打ち切られたところでセキュリティ屋が言うほど弱くないんだけどね。
何かやられるとしてもブラウザ経由だし、ブラウザのアップデートは結構長く続くので「危険なサイト」としてすぐブロックされてしまう。
あとサードパーティのアプ
Re: (スコア:0)
何かやられるとしてもブラウザ経由だし
クローズドソースコンポーネント「せやな」
Bluetooth「せやな」
Linux Kernel「んなわけあるか!」
# 表でアプリ起動してなくても食らう穴はいっぱいあるんよ
Re: (スコア:0)
何かやられるとしてもブラウザ経由だし
そうなのか?
iOSはよく知らないけど、Androidでは割とヤバい脆弱性がブラウザ外でたびたび見つかっている気がする…。
自分が最初にびっくりしたのは、2015年のStagefrightの脆弱性かな。(SMSを受信するだけで乗っ取られる)
その後も例えば CVE-2020-0022(Android Bluetoothサブシステムで任意コード実行の脆弱性) とか。
#といろいろググってたら、今年8月のパッチでもBluetoothのリモートコード実行の脆弱性が修正されているみたいですね。
Re: Re: 「最低 3 年間の OS アップデート (セキュリティ/機能) 提供」 (スコア:0)
Stagefrightはデカかったけどbluetoothとか隣接して攻撃する必要があるので悪用事例が見つかってないしCVSSでも「緊急」扱いしてない。
リモートから容易に権限奪取できる問題以外だと標的型で狙われやすい立場を除けばたいした脅威にはならないのが現実。
Re: (スコア:0)
自己レスだが、 やるらしい。 [gigazine.net]
欧州議会が2022年8月に公開した草案には、ハードウェア面だけでなく
ソフトウェア面でも長期のサポートを義務付ける項目が含まれており、
法案が可決すればデバイスメーカーには「5年間のセキュリティアップデート」と
「3年間のOSアップデート」が義務付けられることとなります。
また、「アップデートがいつまでたっても配布されない」という事態を防ぐべく、
「OSやセキュリティのアップデートが公開されてから2カ月以内にユーザーへ配信する」
ということも義務付けら