アカウント名:
パスワード:
先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。
Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。
攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(
> このような Google の対応は、大変無責任ではないでしょうか?
Googleは脆弱性を修正したマイナーバージョンアップを提供しているだろ?無責任なのは、それを配布しようとしないキャリアだと思うが。
Googleは脆弱性を修正したマイナーバージョンアップを提供しているだろ? 無責任なのは、それを配布しようとしないキャリアだと思うが。
Androidは本当にオープンなのか [it.srad.jp] でも話題になったように、Googleは、端末メーカーと交わしているMADA(Mobile Application Distribution Agreement)という合意書(機密扱いだが訴訟の過程で明らかになった)で、ホーム画面に設置するアプリや検索エンジンなど、ありとあらゆる条件を押し付けています。従って、「デバイスメーカーは自由にAndroidを改変してあらゆる範囲の機能にカスタマイズできる」というGoogleの主張は大嘘であったこ
バージョンが上がるアップデートとは別にパッチを出せばいいんですよね。Appleですら最新OS以外のパッチバージョン出してませんでしたっけ?
>バージョンが上がるアップデートとは別にパッチを出せばいいんですよね。
http://www.itmedia.co.jp/news/articles/1501/26/news152.html [itmedia.co.jp]
ラドウィッグ氏は、WebViewの脆弱性パッチについてはAndroid 4.3(コードネーム:Jelly Bean)以前向けは提供しないと認め、その理由を次のように説明した。 「最近までAndroid 4.3以前についてもWebKitのバックポート(新版での修正を旧版に移植すること)を提供してきたが、WebKit単体でも500万行のコードで成り立っており、さらに何百人もの開発者が毎月のように何千もの新機能を追
ラドウィッグ氏は、WebViewの脆弱性パッチについてはAndroid 4.3(コードネーム:Jelly Bean)以前向けは提供しないと認め、その理由を次のように説明した。
「最近までAndroid 4.3以前についてもWebKitのバックポート(新版での修正を旧版に移植すること)を提供してきたが、WebKit単体でも500万行のコードで成り立っており、さらに何百人もの開発者が毎月のように何千もの新機能を追
「ユーザーの多くが」・・・そうでない人がどれだけいるとは言っていない。「日に日に減少している」・・・どれだけ残っているとは言っていない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
Android 4.3 以前 を安全に使う方法 (スコア:5, 参考になる)
先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。
Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。
攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(
Re: (スコア:0)
> このような Google の対応は、大変無責任ではないでしょうか?
Googleは脆弱性を修正したマイナーバージョンアップを提供しているだろ?
無責任なのは、それを配布しようとしないキャリアだと思うが。
「アップデート」に余計な機能・UIの変更を含めるGoogleが悪い (スコア:2)
Androidは本当にオープンなのか [it.srad.jp] でも話題になったように、Googleは、端末メーカーと交わしているMADA(Mobile Application Distribution Agreement)という合意書(機密扱いだが訴訟の過程で明らかになった)で、ホーム画面に設置するアプリや検索エンジンなど、ありとあらゆる条件を押し付けています。従って、「デバイスメーカーは自由にAndroidを改変してあらゆる範囲の機能にカスタマイズできる」というGoogleの主張は大嘘であったこ
Re:「アップデート」に余計な機能・UIの変更を含めるGoogleが悪い (スコア:0)
バージョンが上がるアップデートとは別にパッチを出せばいいんですよね。
Appleですら最新OS以外のパッチバージョン出してませんでしたっけ?
Re: (スコア:0)
>バージョンが上がるアップデートとは別にパッチを出せばいいんですよね。
http://www.itmedia.co.jp/news/articles/1501/26/news152.html [itmedia.co.jp]
Re: (スコア:0)
「ユーザーの多くが」・・・そうでない人がどれだけいるとは言っていない。
「日に日に減少している」・・・どれだけ残っているとは言っていない。