Kindleに脆弱性。電子書籍をインストールするだけで実行可能 23
ストーリー by nagazou
脆弱性 部門より
脆弱性 部門より
Check Point Software Technologiesは8月6日、Amazon Kindleに脆弱性が存在すると発表した。この脆弱性を悪用するとKindleの制御権は完全に乗っ取られるほか、Amazonアカウントなども盗まれる可能性があるとしている。発表によると一冊の電子書籍をインストールするだけで実行可能だそう。話題になりそうな電子書籍を無料で出版するだけで実行できるとしている。同社は問題をすでにAmazon側に報告しており、Amazon側も問題を修正したファームウェア5.13.5を配信済みだとしている(Check Point、TECH+)。
安心した (スコア:0)
脆弱性があったから、俺のkindleにエロ本が沢山ダウンロードされてたのか
安心した
#何の脆弱性?
Re:安心した (スコア:1)
エロ本で満足してしまう脆弱な性…
Re: (スコア:0)
その脆弱性、俺にも分けてくれ!
一人だけ幸せ^H^H不幸になるなんて可哀想すぎる!!
Re: (スコア:0)
あ・な・た・の ♥
Re: (スコア:0)
性に弱いなら性弱性かしら?
Re: (スコア:0)
性に弱いなら性弱性かしら?
性弱脆
げさ良で
Re: (スコア:0)
Amazonは君のお気に入りがどの本で、何時ごろ鑑賞することが多くて、
週に何回のペースなのかまで完全に把握してるけど
脆弱性じゃなくて仕様です
バージョン確認 (スコア:0)
自分のkindleは5.13.6でした。
5.13.5は2021年3月配信の模様。
脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
Re:バージョン確認 (スコア:2, 興味深い)
修正版あるいはパッチが配布されると、攻撃者はそれらをリバースエンジニアリングして脆弱性を知ることができるので、その時点で攻撃者と消費者に情報格差が生まれてしまう。消費者はその危険性を知らないまま古いソフトウェアを使い続けて攻撃者の餌食になってしまう。
であれば修正版の公開時に脆弱性情報を提供することで情報格差をなくし、修正版の適用を促そうというのが現在主流の考え方のはず。
ただし、重大な脆弱性については予告期間をおいて「〇日に脆弱性の詳細を公開するので、それまでに修正版を適用してください」と呼び掛けるケースも多い。過去のWordPressの例だと1週間程度だったか。5カ月間は必要以上に長いので、別の理由がありそう。
Re: (スコア:0)
予告期間中に中国人がリバエンで脆弱性を突き止めてPoCを公開しちゃって結局公式発表が前倒しされるまでがお約束
Re:バージョン確認 (スコア:1)
Kindleって、わりとスタンドアロンでも使えるんですよ。
読みたい小説をダウンロードした後 Wi-Fi をOFFにしたまま、たまに使ったり
充電したり放置したりして、次にネットに接続したのは 1ヶ月以上あとって
ことも、そんなに珍しい話ではない気がする。
だから余裕を大目にとって公開してるんじゃないだろうか。
Re: (スコア:0)
分かる。
ついさきほどまで、2020年2月付のバージョン5.12.4だった。
2016年に出た、Paperwhite 32GB マンガモデルを使ってるけど、
DLするとき以外、機内モードにしているせい。そうしないと
海外書籍の単語を調べるとき、内蔵辞書だけを引きたいのに、
毎回無駄にWikipediaとBing翻訳にアクセスしにいくんだもの。
そもそも、機内モードオフ時のアイコンが、機内モードのアイコンに
斜め線引いて禁止表現にした形なので、機内モードこそが通常状態の
つもりで設計されているようにも見える。
Wi-Fiつなげて再起動したら、久々にアップデートメニューが有効化されて、
ちゃんと5.13.6になりました。
Re: (スコア:0)
> 脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?
原則的には修正版ソフトウェアを利用者全員が受け取れる状態になった瞬間。
Re: (スコア:0)
今回のAmazonのように、不特定多数の一般消費者かつ直接顧客(今回はKindleのユーザー)が被害対象なら、
大半に配布が進んだあとにゆっくり脆弱性を公開するのがいいと思うけどな。
脆弱性が周知されていない状態は攻撃発生を抑制する効果がある(と検証されているのをどっかで読んだ)。
ミドルS/WやOSのように、間接顧客が被害を受けるケースなら、パッチ?配布開始時に説明しないと
適用可否判断や説明責任を開発者が果たせないから、それが原則だと思うけど。
「被害を最小化する公開タイミング」についての論文、誰か書いてないかしら?
薔薇の名前 (スコア:0)
この脆弱性を利用して、読むと死ぬKindle本というミステリーのトリックを作れそう
Re:薔薇の名前 (スコア:5, おもしろおかしい)
この脆弱性を利用して、読むと死ぬKindle本というミステリーのトリックを作れそう
もしかして、、、Sindle
Re: (スコア:0)
不覚にも夜中に笑いが止まらなくなった。
# 中世暗黒時代風のネタを書き込もうと思ったけど負けました
Re: (スコア:0)
座布団の絨毯爆撃やでぇ
Re: (スコア:0)
ああ、窓に!窓に!
Re:薔薇の名前 (スコア:1)
失踪者はApple信者の様で、情報機器のほとんどをApple製品で揃えていた。
奇妙なことにそれらをすべてベッドの枕脇に、ピラミッドの様に積み重ねていた。
MacbookにiPad Pro、iPad AirだけではないAIrPod ProそれにAppleWatchまでもだ。彼の行き先を示唆しているのだろうか。
写真を撮り終えた鑑識のデービッドが、ピラミッドを乱雑に崩すと片っ端からログインを試みる。
「ちくしょう全部、暗号化がかかっていやがる」
彼は小さく舌打ちして、なおも小さなAppleWatchの画面を操作した。
「迷宮入りになりそうだな」
「こいつのパスコードが分かればな」
デービッドが愚痴たその時だった……私はあるはずの無いMicroUSBケーブルが床に落ちているのを見付けた。
第7世代以前は対応不要? (スコア:0)
第7世代以前は 5.12.2.1.1 のままのようだけど。
Kindle使わなければいい (スコア:0)
kobo使っていて助かった
kindleのroot化 (スコア:0)
昔からfireじゃない、電子ペーパーのkindleをルート化するのって、この手の不具合使ってるんだし、修正されて半年ぐらいで、次の不具合みつかってるのだから、ことさらニュースというほどでもないような、、、