アカウント名:
パスワード:
Bluetoothデバイス側のバグに対処したセキュリティー更新だよね?サンプルコードをそのまま使って、暗号キーもそのまま使っちゃったBluetoothデバイスがあって、セキュリティーホールが見つかってリスクが高いのでブロックした、ってことでいいのかな。
ってことは、MSは真っ当な対応した、ってことだね。
どんなデバイスがやらかしたのか気になるねぇ…。Androidデバイスが対象ってことは、スマホ? スマホのファームウェアでサンプルコピペそのままってあるんかいな??
やらかしてんのは安物のBTマウスやBTキーボードだろう。で、CVE-2019-2102では何故かそのやらかしデバイスではなく、やらかしデバイスとのペアリングを受け入れているホストが対象とされているっぽい。まぁそんな手抜き開発ではファームアップデートとか期待できる訳もないだろうし、デバイス側対応を最初から諦めて自衛しない事を脆弱性と言うしかない、って事なのかな。
んで、AndroidもBTキーボード接続できるからホスト側として対象になってんだろう。古いAndroidが対象に入ってないのは、サポート終了済み扱いなだけかな……ほかツリーでiOSやMacOSは未対策って言ってるコメントあるし、古いAndroidや現行iOSやMacも軒並み対象リストに入れないとホントは駄目なんだろうね。
でもこの理屈だと既知キーの埋め込みやキー漏洩が起きるたびにブラックリスト増えてって、随時リスト更新できない環境はリスト増える度に脆弱性がある扱いされる事になるな。デバイス側の問題やろがーい!
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
セキュリティ上不正なデバイスを排除しただけ? (スコア:1)
Bluetoothデバイス側のバグに対処したセキュリティー更新だよね?
サンプルコードをそのまま使って、暗号キーもそのまま使っちゃったBluetoothデバイスがあって、セキュリティーホールが見つかってリスクが高いのでブロックした、ってことでいいのかな。
ってことは、MSは真っ当な対応した、ってことだね。
どんなデバイスがやらかしたのか気になるねぇ…。
Androidデバイスが対象ってことは、スマホ? スマホのファームウェアでサンプルコピペそのままってあるんかいな??
Re: (スコア:0)
やらかしてんのは安物のBTマウスやBTキーボードだろう。
で、CVE-2019-2102では何故かそのやらかしデバイスではなく、
やらかしデバイスとのペアリングを受け入れているホストが対象とされているっぽい。
まぁそんな手抜き開発ではファームアップデートとか期待できる訳もないだろうし、
デバイス側対応を最初から諦めて自衛しない事を脆弱性と言うしかない、って事なのかな。
んで、AndroidもBTキーボード接続できるからホスト側として対象になってんだろう。
古いAndroidが対象に入ってないのは、サポート終了済み扱いなだけかな……
ほかツリーでiOSやMacOSは未対策って言ってるコメントあるし、
古いAndroidや現行iOSやMacも軒並み対象リストに入れないとホントは駄目なんだろうね。
でもこの理屈だと既知キーの埋め込みやキー漏洩が起きるたびにブラックリスト増えてって、
随時リスト更新できない環境はリスト増える度に脆弱性がある扱いされる事になるな。
デバイス側の問題やろがーい!