アカウント名:
パスワード:
最新OSを提供しないんでしょ?
なんで1個の脆弱性修正するのにOSそのものを入れ替える必要あるの?しかも退化してる奴に
最新版にせず古いバージョンでのマイナーアップデートだったとしても、落ちてくるのはフルイメージでOSそのものを入れ替えになるような気が…
# まぁそもそもマイナーアップすら提供しない可能性も高いが。キャリア問わず。
auとsoftbankは?
任意のコードが実行できる脆弱性そのものはよく話題になるけどその任意のコードでどんな被害が発生しているかの話があまりでないのは動かして攻撃側の利益を出すスマホコードって結構むずかしいんだよね
そもそもStageFright問題ってroot取られてる訳じゃないからな任意のコードって言ってもStageFrightライブラリの権限下での動きだからJB以降はかなり権限に制約が掛かってるから出来ることも限られるICS以前だとやばいみたいだけど
任意のコードが実行できる訳ですから、何だって出来ますよ?
> 任意のコードが実行できる訳ですから、何だって出来ますよ?
さすがにそれは素人すぎ
たとえばとあるセキュリティホールは「任意のコードが実行できる (ただし8バイトまで)」なわけだけど何ができるか書いてみ
パーミッションじゃなくてそっち行くんだ。
元ファイル・データがメモリに読まれてれば其処にジャンプくらい出来るが、そうでないとか実行属性が無いとかだとキツいなぁ…複数回実行できればなんとか。既存のコードに飛ぶのは余裕だから踏み台になるコードを探すのが現実的かな?
> その任意のコードでどんな被害が発生しているかの話があまりでないのは> 動かして攻撃側の利益を出すスマホコードって結構むずかしいんだよね
この辺一言でいえば「リセットパターンを完全に使い切ったTASさんなら理論上できる」でしかないんですよねなので実際には成功することはごくごくごくごく稀です
ただ、Androidに脆弱性と書けばどこかのリンゴの国からお金がもらえるマスゴミはそれを大々的に「Androidに大きな脆弱性!!」と書くための材料にするため必死に探させてます
結果として必死にAndroid穴を突くTASスクリプトを作り続けてる奴隷というのが大量にいるのが現状です。
最新OSはいらんセキュリティフィックスをよこせ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
それでもdocomoは (スコア:0)
最新OSを提供しないんでしょ?
Re: (スコア:0)
なんで1個の脆弱性修正するのにOSそのものを入れ替える必要あるの?
しかも退化してる奴に
Re: (スコア:0)
最新版にせず古いバージョンでのマイナーアップデートだったとしても、
落ちてくるのはフルイメージでOSそのものを入れ替えになるような気が…
# まぁそもそもマイナーアップすら提供しない可能性も高いが。キャリア問わず。
Re: (スコア:0)
auとsoftbankは?
Re: (スコア:0)
任意のコードが実行できる脆弱性そのものはよく話題になるけど
その任意のコードでどんな被害が発生しているかの話があまりでないのは
動かして攻撃側の利益を出すスマホコードって結構むずかしいんだよね
Re: (スコア:0)
そもそもStageFright問題ってroot取られてる訳じゃないからな
任意のコードって言ってもStageFrightライブラリの権限下での動きだから
JB以降はかなり権限に制約が掛かってるから出来ることも限られる
ICS以前だとやばいみたいだけど
Re: (スコア:0)
任意のコードが実行できる訳ですから、何だって出来ますよ?
Re: (スコア:0)
> 任意のコードが実行できる訳ですから、何だって出来ますよ?
さすがにそれは素人すぎ
たとえばとあるセキュリティホールは
「任意のコードが実行できる (ただし8バイトまで)」なわけだけど
何ができるか書いてみ
Re: (スコア:0)
パーミッションじゃなくてそっち行くんだ。
元ファイル・データがメモリに読まれてれば其処にジャンプくらい出来るが、
そうでないとか実行属性が無いとかだとキツいなぁ…複数回実行できればなんとか。
既存のコードに飛ぶのは余裕だから踏み台になるコードを探すのが現実的かな?
Re: (スコア:0)
> その任意のコードでどんな被害が発生しているかの話があまりでないのは
> 動かして攻撃側の利益を出すスマホコードって結構むずかしいんだよね
この辺一言でいえば
「リセットパターンを完全に使い切ったTASさんなら理論上できる」でしかないんですよね
なので実際には成功することはごくごくごくごく稀です
ただ、Androidに脆弱性と書けばどこかのリンゴの国からお金がもらえるマスゴミは
それを大々的に「Androidに大きな脆弱性!!」と書くための材料にするため必死に探させてます
結果として必死にAndroid穴を突くTASスクリプトを作り続けてる奴隷というのが大量にいるのが現状です。
Re: (スコア:0)
最新OSはいらん
セキュリティフィックスをよこせ