アカウント名:
パスワード:
部品供給を販売終了後5年と義務付けるなら、アップデートの方もそっちに合わせてくれよ。今時のスマホ、ハードだけ無事でも片手落ちだぞ。
まぁ、スマホだとアップデート打ち切られたところでセキュリティ屋が言うほど弱くないんだけどね。 何かやられるとしてもブラウザ経由だし、ブラウザのアップデートは結構長く続くので「危険なサイト」としてすぐブロックされてしまう。
あとサードパーティのアプリ側の対応は必要になってくるけど、こっちはMSとか足の速いところを除けばかなり長い。 Android4.1~4.4あたりを最低動作環境に指定してるアプリが多いので「開発者として必要な機能」はこのあたりで揃ったものと思われる。
何かやられるとしてもブラウザ経由だし
クローズドソースコンポーネント「せやな」Bluetooth「せやな」Linux Kernel「んなわけあるか!」
# 表でアプリ起動してなくても食らう穴はいっぱいあるんよ
そうなのか?iOSはよく知らないけど、Androidでは割とヤバい脆弱性がブラウザ外でたびたび見つかっている気がする…。
自分が最初にびっくりしたのは、2015年のStagefrightの脆弱性かな。(SMSを受信するだけで乗っ取られる)その後も例えば CVE-2020-0022(Android Bluetoothサブシステムで任意コード実行の脆弱性) とか。
#といろいろググってたら、今年8月のパッチでもBluetoothのリモートコード実行の脆弱性が修正されているみたいですね。
Stagefrightはデカかったけどbluetoothとか隣接して攻撃する必要があるので悪用事例が見つかってないしCVSSでも「緊急」扱いしてない。 リモートから容易に権限奪取できる問題以外だと標的型で狙われやすい立場を除けばたいした脅威にはならないのが現実。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
「最低 3 年間の OS アップデート (セキュリティ/機能) 提供」 (スコア:0)
部品供給を販売終了後5年と義務付けるなら、アップデートの方もそっちに合わせてくれよ。
今時のスマホ、ハードだけ無事でも片手落ちだぞ。
Re: 「最低 3 年間の OS アップデート (セキュリティ/機能) 提供」 (スコア:0)
まぁ、スマホだとアップデート打ち切られたところでセキュリティ屋が言うほど弱くないんだけどね。
何かやられるとしてもブラウザ経由だし、ブラウザのアップデートは結構長く続くので「危険なサイト」としてすぐブロックされてしまう。
あとサードパーティのアプリ側の対応は必要になってくるけど、こっちはMSとか足の速いところを除けばかなり長い。
Android4.1~4.4あたりを最低動作環境に指定してるアプリが多いので「開発者として必要な機能」はこのあたりで揃ったものと思われる。
Re: (スコア:0)
何かやられるとしてもブラウザ経由だし
クローズドソースコンポーネント「せやな」
Bluetooth「せやな」
Linux Kernel「んなわけあるか!」
# 表でアプリ起動してなくても食らう穴はいっぱいあるんよ
Re: (スコア:0)
何かやられるとしてもブラウザ経由だし
そうなのか?
iOSはよく知らないけど、Androidでは割とヤバい脆弱性がブラウザ外でたびたび見つかっている気がする…。
自分が最初にびっくりしたのは、2015年のStagefrightの脆弱性かな。(SMSを受信するだけで乗っ取られる)
その後も例えば CVE-2020-0022(Android Bluetoothサブシステムで任意コード実行の脆弱性) とか。
#といろいろググってたら、今年8月のパッチでもBluetoothのリモートコード実行の脆弱性が修正されているみたいですね。
Re: Re: 「最低 3 年間の OS アップデート (セキュリティ/機能) 提供」 (スコア:0)
Stagefrightはデカかったけどbluetoothとか隣接して攻撃する必要があるので悪用事例が見つかってないしCVSSでも「緊急」扱いしてない。
リモートから容易に権限奪取できる問題以外だと標的型で狙われやすい立場を除けばたいした脅威にはならないのが現実。