AndroidのMediaServerで任意のコード実行が可能となる新たな脆弱性 46
ストーリー by hylom
また別のやつが 部門より
また別のやつが 部門より
headless 曰く、
メディア関連コンポーネントで次々に脆弱性が発見されているAndroidだが、攻撃者が任意のコードを実行可能となるMediaServerの新たな脆弱性が公表された(TrendMicro — Security Intelligence Blog、ITworld)。
この脆弱性はMediaServerのAudioEffectコンポーネントに存在し、コマンドデータと応答データのバッファーサイズが正しくチェックされないため、ヒープオーバーフローが発生するというもの。この脆弱性を悪用することで、MediaServerと同じ権限でのコード実行が可能となる。Android 2.3~5.1.1に脆弱性が存在するとのことで、実質的には現在使われているAndroid端末のほぼすべてが影響を受けることになる。攻撃にはユーザーにアプリをインストールさせる必要があるようだが、脆弱性の悪用には特別なパーミッションを必要としない。そのため、無害に見えるアプリを使用した攻撃も可能だという。
TrendMicroは6月19日にAndroid Security Teamに脆弱性を報告。Android Security Teamでは8月1日にAndroid Open Source Project(ASOP)で修正版を公開している。なお、現在のところ実際の攻撃発生は確認されていないとのことだ。
OSに余計なアプリケーションをバンドルしないでほしい (スコア:1)
電話を買って最初にするのが要らないアプリケーションを殺すこと。
不毛すぎる。
PCはどうせ最小構成でOSのクリーンインストールするけど、
本来ならそれも不要であるはずだよな。
Re: (スコア:0)
そして、電卓すらなくてブチ切れる#2868185であった...
Re: (スコア:0)
言うほど電卓アプリって使う? PCでもスマホでも。
Re:OSに余計なアプリケーションをバンドルしないでほしい (スコア:4, おもしろおかしい)
なんと無粋な……。
電卓アプリが無かったら「要らないアプリケーションを殺」したことによって増加した空きメモリ・空きストレージの容量が計算できないのですよ。
Re: (スコア:0)
10進数と16進数の変換でわりとよく使う。
Re: (スコア:0)
言うの?
だれが??
だれに??
Re: (スコア:0)
Android搭載フィーチャーフォンでも買えば?
Re:OSに余計なアプリケーションをバンドルしないでほしい (スコア:1)
アプリを消す自由度も無いというオチでは?
Re: (スコア:0)
他のソフトウェアを邪魔しなければ問題無いのですが、Androidの場合は…ですからねぇ。まぁ、Audio Effectまで無くせとは言わないので、オフトピですが。
ああ無情 (スコア:0)
パッチがどんだけ早く公開されようとも
契約縛り期間でさえ更新されることはなし
キャリアもメーカーは売り逃げ責任放棄だもの
こうなってくるとワンクリックルート奪取とか備えた
穴を塞ぐ抗ウイルス用ウイルスでもでない限り
BOT天国になっちゃいますよね
Lollipopからはその辺踏まえて
ある程度はストアから更新可能にはしてきてはいるけれど
Marshmallowでさらに改善されるのでしょうかね
とはいっても日本独自部分は
キャリアやメーカーが意欲的に放置するんでしょうけれど
# 法規制でリコール義務持たせるしかないんですかね
Re:ああ無情 (スコア:2, 参考になる)
アップデートの管理をメーカーやキャリアがやるのではなくてGoogleがやればいいが、それは絶対にやらない&やれないんだろう。
Androidはあまりにもメーカーに自由を与えすぎた。
一方、ユーザーには自由を全く与えなかった。
Androidはもう寿命を迎えてると思う。
iOSよりも先に寿命が来るとは予想外だったが、ここまでボロボロだと諦められる直前だ。
早くLumia 950が発売されてほしいが、iPhone 6sの後になるだろうし、日本で発売されるかどうかは怪しい。
Win10mobileならMSがアップデートを実施するらしいから安心だろうけど。
Re: (スコア:0)
> アップデートの管理をメーカーやキャリアがやるのではなくてGoogleがやればいいが、それは絶対にやらない&やれないんだろう。
Androidフラグシップモデルってものがありまして、
Googleが直接アップデートの管理をやってくれますよ。
Re: (スコア:0)
GoogleがGoogleブランドのAndoird機器のアップデート管理をするのはごく当たり前。
Appleが古くは無いiOSのアップデート管理をするのと変わらない。
MSは、Windows10 mobileのアップデート管理は、自社モデル以外の端末に対してもアップデート管理をするって今のところは約束しているわけだよ。
その点が全然違うんだよね。
ところで今はNexusみたいなのをフラッグシップモデルって呼んでるの?
以前はリファレンスモデルって呼んでいたような。
Re: (スコア:0)
日本でいつまでたってもWindows Phone端末が出ない理由でもありそうなのがアレ(Appleくらいのシェアがないとメーカーやキャリアに言うことを聞かせることができない)。
Re: (スコア:0)
フラグシップの意味がわかってないだけでしょ。
誰も、あんな低スペックシリーズをフラグシップなんて呼ばないよ。
Re: (スコア:0)
Google Nexus [security.srad.jp]
NexusシリーズはAndroid端末のフラッグシップモデルと見なされており [6] [lifehacker.com] [7] [gizmodo.com]
Re: (スコア:0)
おっとリンク貼り間違えた。こっち [wikipedia.org]
まあ、Nexusシリーズ機を「フラグシップ」と呼んでいる人は、たくさんいる [google.com]ということ
Re: (スコア:0)
絵に描いた餅じゃあ腹が膨れんしなあ
Re: (スコア:0)
クソのようなIEが普及して、そのクソの状態が長期にわたって維持されたのを考えれば、
ここまで普及してしまったAndroidもまだまだ長寿命でいくだろうよ。
IEにとってのFirefox、Chromeのような存在がモバイルOS業界に出ない限り。
iOSが多少は盛り返すとしても、今のAndroidほどのシェアにはなれない。安売りしないだろうし。
WindowsPhoneがアプリそろえて安い端末を出せれば・・・かな。
Re: (スコア:0)
IEのクソぶりと比べても、Androidのクソぶりは群を抜いてると思う。
IEは改善に改善をかさねて、Firefoxなんかよりセキュアになったし、バグを大量に出すChromeよりも安定はしている。
だがしかし、Androidは致命的な脆弱性の修正すらされずに大量の端末が放置状態。
これはWindows&IEの「MS製品って危険だよね」って言われていた暗黒時代よりも危険な状態だよ。
そのうちAndroidユーザーに限らず、インターネットをまるごと巻き込んだインシデントに発展するんじゃないかと思う。
それから、Windows 10 mobileはIEじゃなくて、Edgeがデフォルトのブラウザだけどな。
アイコンは佐野リングみたいにそっくりだけど、開発元が同じだから問題ない。
Re: (スコア:0)
WPの成長を待たなくてもなくても、Cyanogen modのようなAOSPでサポート良い所がでればいい対抗馬になるかも。といっても、個々の端末までアップデート管理することを考えると、One plus one見たいな端末一貫生産やってるところが理屈の上では有望株かね…?
Re: (スコア:0)
Netscape がそのクソ仕様を捨てて、新しくやりなおそうとしたときに、IE は Netscape への互換を維持しただけ。
結果として、世界は IE についていった
この例からすれば、Android がセキュアになっても、Android 互換のクソOSが覇権を握ることになっちゃうな。
Re: (スコア:0)
まだまだ健在なようで安心した。
# アンチが必死で終わらせたがってる間はぜんぜん心配ない。かつてのMSのごとく。
Re: (スコア:0)
使用料フリーで配布されているプログラムがことごとく公開中止になりますな。
Re: (スコア:0)
PL法かな。
そのまま適用できないと思うが、ユーザー側に追加/削除/更新権限が無い部分は適用でいいんじゃないかな?
Google自身は一応パッチ出してるのに、更新できないのはキャリアがやってることだから。
それこそPC並みにOS入れ替えまで可能なら、責任なしでもいいと思うよ。
目玉の数ばかり十分あっても (スコア:0)
パッチが届かない/あてられない環境下では、手当のされない傷口がものすごい勢いで増えるばかりで、
ひたすらに危険性が増していくだけであった。
携帯電話にオープンソースのOSってのは失敗だったかもな。
Re: (スコア:0)
増えてく傷口に蠅が蛆を生んでいき
生きながら腐りつつ感染拡大させてく地獄絵図
# ネットダイで死ねるだけリアルゾンビよりましだが
Re:目玉の数ばかり十分あっても (スコア:2)
オフトピだけど、ウジって実はむしろ傷を治すみたいよ
マゴットセラピー [wikipedia.org]
疑似科学ではなさそう(よくわかんないけど)
Re: (スコア:0)
傷を治すというか腐った肉のみを食べ健康な肉は食べません。
Re: (スコア:0)
場合によります。
はえうじ症で検索してみませう。
Re:目玉の数ばかり十分あっても (スコア:1)
知りませんでした。ありがとうございます。
要するに (スコア:0)
Androidのガジェットが欲しければGoogle謹製のNexus一択ってことですねわかりました。
Re: (スコア:0)
MIUIを出しているXiaomiとかは、真面目にアップデートやってますけどね。
Re: (スコア:0)
なんだ、中韓メーカーの方がアフターサービスしっかりしているなw
Re: (スコア:0)
Android 5 以降の修正内容って半分以上が Galaxy の独自仕様を Android標準に取り込むって作業だから、いずれはこの機能も入るんだろうけど。
Re: (スコア:0)
謹製厨ってまだいるんだw
最初に見たのは80年代の月刊アスキー
Playで配布すればいいんでないの? (スコア:0)
修正版のメディアサーバーがありゃ安全なんでしょ?
つーかメディアサーバーはバギーだから仕組みとして無くしてほしいけど。
Re: (スコア:0)
MediaServer (この場合はlibaudioflinger.soだろう)にもメーカー独自のコードが入っているのでGoogle製のバイナリ配っても多分まともに動かない。
Re: (スコア:0)
> Playで配布すればいいんでないの? (スコア:0)
> 修正版のメディアサーバーがありゃ安全なんでしょ?
> つーかメディアサーバーはバギーだから仕組みとして無くしてほしいけど。
キャリアやメーカーの中の人の声
だったりして
Re: (スコア:0)
こういうツリー型のフォーラムでは、
親コメントの全文とタイトルまでいちいち引用しなくてもいいですよ。
で、いつパンデミック起きるの?ww (スコア:0)
全然大したこと起きてないじゃん
いちいち騒ぎすぎなんだよ糞アンチが
Re: (スコア:0)
Windows XPも偽セキュリティソフトメーカー真っ青のネガティブキャンペーン打ちまくったが結果はご覧のとおり。
Re: (スコア:0)
その一方、日本年金機構からは個人情報が流出したわけで…。
あまりに油断しすぎるのも危険かも…
Re: (スコア:0)
2013年3月の韓国の大規模サイバーテロ事件とか
ウィルスバスターでOSが死んだ事件とか
いろいろありましたよね
ある日突然同時刻に世界中のスマホが鳴りだして電話網とインターネット網がマヒするとかの可能性だってあるんだよ
また詐欺記事か (スコア:0)
今日もまた「人間には癌になりえる遺伝子が必ずあるから全員が癌で死ぬ!」の詐欺だね
AOSPに存在するんだからすべての商用端末が全部同じ結果になるに決まってる!とかどんな詭弁だね?
セキュリティ業界のみなさん?セキュリティ業界にAndroid叩きの記事かかせてるどこかの大金持ち企業さん?
Re: (スコア:0)
お前その変なたとえ話大好きだな