パスワードを忘れた? アカウント作成
12403624 story
Android

AndroidのMediaServerで任意のコード実行が可能となる新たな脆弱性 46

ストーリー by hylom
また別のやつが 部門より
headless 曰く、

メディア関連コンポーネントで次々脆弱性が発見されているAndroidだが、攻撃者が任意のコードを実行可能となるMediaServerの新たな脆弱性が公表された(TrendMicro — Security Intelligence BlogITworld)。

この脆弱性はMediaServerのAudioEffectコンポーネントに存在し、コマンドデータと応答データのバッファーサイズが正しくチェックされないため、ヒープオーバーフローが発生するというもの。この脆弱性を悪用することで、MediaServerと同じ権限でのコード実行が可能となる。Android 2.3~5.1.1に脆弱性が存在するとのことで、実質的には現在使われているAndroid端末のほぼすべてが影響を受けることになる。攻撃にはユーザーにアプリをインストールさせる必要があるようだが、脆弱性の悪用には特別なパーミッションを必要としない。そのため、無害に見えるアプリを使用した攻撃も可能だという。

TrendMicroは6月19日にAndroid Security Teamに脆弱性を報告。Android Security Teamでは8月1日にAndroid Open Source Project(ASOP)で修正版を公開している。なお、現在のところ実際の攻撃発生は確認されていないとのことだ。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • 電話を買って最初にするのが要らないアプリケーションを殺すこと。
    不毛すぎる。

    PCはどうせ最小構成でOSのクリーンインストールするけど、
    本来ならそれも不要であるはずだよな。

  • by Anonymous Coward on 2015年08月21日 14時22分 (#2868210)

    パッチがどんだけ早く公開されようとも
    契約縛り期間でさえ更新されることはなし
    キャリアもメーカーは売り逃げ責任放棄だもの
     
    こうなってくるとワンクリックルート奪取とか備えた
    穴を塞ぐ抗ウイルス用ウイルスでもでない限り
    BOT天国になっちゃいますよね
     
    Lollipopからはその辺踏まえて
    ある程度はストアから更新可能にはしてきてはいるけれど
    Marshmallowでさらに改善されるのでしょうかね
     
    とはいっても日本独自部分は
    キャリアやメーカーが意欲的に放置するんでしょうけれど
     
    # 法規制でリコール義務持たせるしかないんですかね

    • Re:ああ無情 (スコア:2, 参考になる)

      by Anonymous Coward on 2015年08月21日 14時46分 (#2868224)

      アップデートの管理をメーカーやキャリアがやるのではなくてGoogleがやればいいが、それは絶対にやらない&やれないんだろう。

      Androidはあまりにもメーカーに自由を与えすぎた。
      一方、ユーザーには自由を全く与えなかった。

      Androidはもう寿命を迎えてると思う。
      iOSよりも先に寿命が来るとは予想外だったが、ここまでボロボロだと諦められる直前だ。

      早くLumia 950が発売されてほしいが、iPhone 6sの後になるだろうし、日本で発売されるかどうかは怪しい。
      Win10mobileならMSがアップデートを実施するらしいから安心だろうけど。

      親コメント
      • by Anonymous Coward

        > アップデートの管理をメーカーやキャリアがやるのではなくてGoogleがやればいいが、それは絶対にやらない&やれないんだろう。

        Androidフラグシップモデルってものがありまして、
        Googleが直接アップデートの管理をやってくれますよ。

        • by Anonymous Coward

          GoogleがGoogleブランドのAndoird機器のアップデート管理をするのはごく当たり前。
          Appleが古くは無いiOSのアップデート管理をするのと変わらない。

          MSは、Windows10 mobileのアップデート管理は、自社モデル以外の端末に対してもアップデート管理をするって今のところは約束しているわけだよ。

          その点が全然違うんだよね。

          ところで今はNexusみたいなのをフラッグシップモデルって呼んでるの?
          以前はリファレンスモデルって呼んでいたような。

          • by Anonymous Coward

            日本でいつまでたってもWindows Phone端末が出ない理由でもありそうなのがアレ(Appleくらいのシェアがないとメーカーやキャリアに言うことを聞かせることができない)。

          • by Anonymous Coward
            > ところで今はNexusみたいなのをフラッグシップモデルって呼んでるの

            フラグシップの意味がわかってないだけでしょ。
            誰も、あんな低スペックシリーズをフラグシップなんて呼ばないよ。
            • by Anonymous Coward

              Google Nexus [mobile.srad.jp]

              NexusシリーズはAndroid端末のフラッグシップモデルと見なされており [6] [lifehacker.com] [7] [gizmodo.com]

              • by Anonymous Coward

                おっとリンク貼り間違えた。こっち [wikipedia.org]

                まあ、Nexusシリーズ機を「フラグシップ」と呼んでいる人は、たくさんいる [google.com]ということ

          • by Anonymous Coward

            絵に描いた餅じゃあ腹が膨れんしなあ

      • by Anonymous Coward

        クソのようなIEが普及して、そのクソの状態が長期にわたって維持されたのを考えれば、
        ここまで普及してしまったAndroidもまだまだ長寿命でいくだろうよ。
        IEにとってのFirefox、Chromeのような存在がモバイルOS業界に出ない限り。
        iOSが多少は盛り返すとしても、今のAndroidほどのシェアにはなれない。安売りしないだろうし。
        WindowsPhoneがアプリそろえて安い端末を出せれば・・・かな。

        • by Anonymous Coward

          IEのクソぶりと比べても、Androidのクソぶりは群を抜いてると思う。

          IEは改善に改善をかさねて、Firefoxなんかよりセキュアになったし、バグを大量に出すChromeよりも安定はしている。

          だがしかし、Androidは致命的な脆弱性の修正すらされずに大量の端末が放置状態。
          これはWindows&IEの「MS製品って危険だよね」って言われていた暗黒時代よりも危険な状態だよ。

          そのうちAndroidユーザーに限らず、インターネットをまるごと巻き込んだインシデントに発展するんじゃないかと思う。

          それから、Windows 10 mobileはIEじゃなくて、Edgeがデフォルトのブラウザだけどな。
          アイコンは佐野リングみたいにそっくりだけど、開発元が同じだから問題ない。

        • by Anonymous Coward

          WPの成長を待たなくてもなくても、Cyanogen modのようなAOSPでサポート良い所がでればいい対抗馬になるかも。といっても、個々の端末までアップデート管理することを考えると、One plus one見たいな端末一貫生産やってるところが理屈の上では有望株かね…?

        • by Anonymous Coward
          クソのような IE っていうけど、そのクソのような動作決めたのって9割は Netscape だぜ?
          Netscape がそのクソ仕様を捨てて、新しくやりなおそうとしたときに、IE は Netscape への互換を維持しただけ。
          結果として、世界は IE についていった

          この例からすれば、Android がセキュアになっても、Android 互換のクソOSが覇権を握ることになっちゃうな。
      • by Anonymous Coward

        まだまだ健在なようで安心した。
        # アンチが必死で終わらせたがってる間はぜんぜん心配ない。かつてのMSのごとく。

    • by Anonymous Coward

      使用料フリーで配布されているプログラムがことごとく公開中止になりますな。

    • by Anonymous Coward

      PL法かな。
      そのまま適用できないと思うが、ユーザー側に追加/削除/更新権限が無い部分は適用でいいんじゃないかな?
      Google自身は一応パッチ出してるのに、更新できないのはキャリアがやってることだから。

      それこそPC並みにOS入れ替えまで可能なら、責任なしでもいいと思うよ。

  • by Anonymous Coward on 2015年08月21日 14時39分 (#2868220)

    パッチが届かない/あてられない環境下では、手当のされない傷口がものすごい勢いで増えるばかりで、
    ひたすらに危険性が増していくだけであった。

    携帯電話にオープンソースのOSってのは失敗だったかもな。

  • by Anonymous Coward on 2015年08月21日 15時03分 (#2868238)

    Androidのガジェットが欲しければGoogle謹製のNexus一択ってことですねわかりました。

    • by Anonymous Coward

      MIUIを出しているXiaomiとかは、真面目にアップデートやってますけどね。

      • by Anonymous Coward

        なんだ、中韓メーカーの方がアフターサービスしっかりしているなw

        • by Anonymous Coward
          Galaxyシリーズは、日本のキャリア端末向けですら Samsung が独自ルートでセキュリティアップデートかけられるようにしてるし、OS のアップデートとは別口でセキュリティの更新だけだからな。
          Android 5 以降の修正内容って半分以上が Galaxy の独自仕様を Android標準に取り込むって作業だから、いずれはこの機能も入るんだろうけど。
    • by Anonymous Coward

      謹製厨ってまだいるんだw

      最初に見たのは80年代の月刊アスキー

  • by Anonymous Coward on 2015年08月21日 17時45分 (#2868348)

    修正版のメディアサーバーがありゃ安全なんでしょ?

    つーかメディアサーバーはバギーだから仕組みとして無くしてほしいけど。

    • by Anonymous Coward

      MediaServer (この場合はlibaudioflinger.soだろう)にもメーカー独自のコードが入っているのでGoogle製のバイナリ配っても多分まともに動かない。

    • by Anonymous Coward

      > Playで配布すればいいんでないの? (スコア:0)
      > 修正版のメディアサーバーがありゃ安全なんでしょ?
      > つーかメディアサーバーはバギーだから仕組みとして無くしてほしいけど。
       
      キャリアやメーカーの中の人の声
      だったりして

      • by Anonymous Coward

        こういうツリー型のフォーラムでは、
        親コメントの全文とタイトルまでいちいち引用しなくてもいいですよ。

  • by Anonymous Coward on 2015年08月21日 20時17分 (#2868460)

    全然大したこと起きてないじゃん
    いちいち騒ぎすぎなんだよ糞アンチが

    • by Anonymous Coward

      Windows XPも偽セキュリティソフトメーカー真っ青のネガティブキャンペーン打ちまくったが結果はご覧のとおり。

      • by Anonymous Coward

        その一方、日本年金機構からは個人情報が流出したわけで…。
        あまりに油断しすぎるのも危険かも…

    • by Anonymous Coward
      Nimudaの件とかCode Redの件とかあと直接関係ないかもしれないけど
      2013年3月の韓国の大規模サイバーテロ事件とか
      ウィルスバスターでOSが死んだ事件とか
      いろいろありましたよね

      ある日突然同時刻に世界中のスマホが鳴りだして電話網とインターネット網がマヒするとかの可能性だってあるんだよ
  • by Anonymous Coward on 2015年08月22日 1時12分 (#2868579)

    今日もまた「人間には癌になりえる遺伝子が必ずあるから全員が癌で死ぬ!」の詐欺だね
    AOSPに存在するんだからすべての商用端末が全部同じ結果になるに決まってる!とかどんな詭弁だね?
    セキュリティ業界のみなさん?セキュリティ業界にAndroid叩きの記事かかせてるどこかの大金持ち企業さん?

    • by Anonymous Coward

      お前その変なたとえ話大好きだな

typodupeerror

アレゲは一日にしてならず -- アレゲ見習い

読み込み中...