パスワードを忘れた? アカウント作成
15376224 story
セキュリティ

Kindleに脆弱性。電子書籍をインストールするだけで実行可能 23

ストーリー by nagazou
脆弱性 部門より
Check Point Software Technologiesは8月6日、Amazon Kindleに脆弱性が存在すると発表した。この脆弱性を悪用するとKindleの制御権は完全に乗っ取られるほか、Amazonアカウントなども盗まれる可能性があるとしている。発表によると一冊の電子書籍をインストールするだけで実行可能だそう。話題になりそうな電子書籍を無料で出版するだけで実行できるとしている。同社は問題をすでにAmazon側に報告しており、Amazon側も問題を修正したファームウェア5.13.5を配信済みだとしている(Check PointTECH+)。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2021年08月12日 17時06分 (#4089651)

    脆弱性があったから、俺のkindleにエロ本が沢山ダウンロードされてたのか
    安心した

    #何の脆弱性?

    • by Anonymous Coward on 2021年08月12日 20時38分 (#4089787)

      エロ本で満足してしまう脆弱な性…

      親コメント
    • by Anonymous Coward

      その脆弱性、俺にも分けてくれ!
      一人だけ幸せ^H^H不幸になるなんて可哀想すぎる!!

    • by Anonymous Coward

      #何の脆弱性?

      あ・な・た・の ♥

    • by Anonymous Coward

      性に弱いなら性弱性かしら?

      • by Anonymous Coward

        性に弱いなら性弱性かしら?

        性弱脆
        げさ良で

    • by Anonymous Coward

      Amazonは君のお気に入りがどの本で、何時ごろ鑑賞することが多くて、
      週に何回のペースなのかまで完全に把握してるけど
      脆弱性じゃなくて仕様です

  • by Anonymous Coward on 2021年08月12日 17時15分 (#4089661)

    自分のkindleは5.13.6でした。
    5.13.5は2021年3月配信の模様。

    脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?

    • by Anonymous Coward on 2021年08月12日 19時42分 (#4089749)

      修正版あるいはパッチが配布されると、攻撃者はそれらをリバースエンジニアリングして脆弱性を知ることができるので、その時点で攻撃者と消費者に情報格差が生まれてしまう。消費者はその危険性を知らないまま古いソフトウェアを使い続けて攻撃者の餌食になってしまう。

      であれば修正版の公開時に脆弱性情報を提供することで情報格差をなくし、修正版の適用を促そうというのが現在主流の考え方のはず。

      ただし、重大な脆弱性については予告期間をおいて「〇日に脆弱性の詳細を公開するので、それまでに修正版を適用してください」と呼び掛けるケースも多い。過去のWordPressの例だと1週間程度だったか。5カ月間は必要以上に長いので、別の理由がありそう。

      親コメント
      • by Anonymous Coward

        予告期間中に中国人がリバエンで脆弱性を突き止めてPoCを公開しちゃって結局公式発表が前倒しされるまでがお約束

    • by Anonymous Coward on 2021年08月12日 19時03分 (#4089729)

      Kindleって、わりとスタンドアロンでも使えるんですよ。

      読みたい小説をダウンロードした後 Wi-Fi をOFFにしたまま、たまに使ったり
      充電したり放置したりして、次にネットに接続したのは 1ヶ月以上あとって
      ことも、そんなに珍しい話ではない気がする。

      だから余裕を大目にとって公開してるんじゃないだろうか。

      親コメント
      • by Anonymous Coward

        分かる。 
        ついさきほどまで、2020年2月付のバージョン5.12.4だった。

        2016年に出た、Paperwhite 32GB マンガモデルを使ってるけど、
        DLするとき以外、機内モードにしているせい。そうしないと
        海外書籍の単語を調べるとき、内蔵辞書だけを引きたいのに、
        毎回無駄にWikipediaとBing翻訳にアクセスしにいくんだもの。

        そもそも、機内モードオフ時のアイコンが、機内モードのアイコンに
        斜め線引いて禁止表現にした形なので、機内モードこそが通常状態の
        つもりで設計されているようにも見える。

        Wi-Fiつなげて再起動したら、久々にアップデートメニューが有効化されて、
        ちゃんと5.13.6になりました。

    • by Anonymous Coward

      > 脆弱性の情報を公にする時期って、ほんと、いつが良いのでしょうね?

      原則的には修正版ソフトウェアを利用者全員が受け取れる状態になった瞬間。

      • by Anonymous Coward

        今回のAmazonのように、不特定多数の一般消費者かつ直接顧客(今回はKindleのユーザー)が被害対象なら、
        大半に配布が進んだあとにゆっくり脆弱性を公開するのがいいと思うけどな。
        脆弱性が周知されていない状態は攻撃発生を抑制する効果がある(と検証されているのをどっかで読んだ)。

        ミドルS/WやOSのように、間接顧客が被害を受けるケースなら、パッチ?配布開始時に説明しないと
        適用可否判断や説明責任を開発者が果たせないから、それが原則だと思うけど。

        「被害を最小化する公開タイミング」についての論文、誰か書いてないかしら?

  • by Anonymous Coward on 2021年08月12日 17時38分 (#4089675)

    この脆弱性を利用して、読むと死ぬKindle本というミステリーのトリックを作れそう

    • Re:薔薇の名前 (スコア:5, おもしろおかしい)

      by Anonymous Coward on 2021年08月12日 21時36分 (#4089825)

      この脆弱性を利用して、読むと死ぬKindle本というミステリーのトリックを作れそう

      もしかして、、、Sindle

      親コメント
      • by Anonymous Coward

        不覚にも夜中に笑いが止まらなくなった。

        # 中世暗黒時代風のネタを書き込もうと思ったけど負けました

      • by Anonymous Coward

        座布団の絨毯爆撃やでぇ

    • by Anonymous Coward

      ああ、窓に!窓に!

      • by Anonymous Coward on 2021年08月12日 18時53分 (#4089720)

        失踪者はApple信者の様で、情報機器のほとんどをApple製品で揃えていた。
        奇妙なことにそれらをすべてベッドの枕脇に、ピラミッドの様に積み重ねていた。
        MacbookにiPad Pro、iPad AirだけではないAIrPod ProそれにAppleWatchまでもだ。彼の行き先を示唆しているのだろうか。
        写真を撮り終えた鑑識のデービッドが、ピラミッドを乱雑に崩すと片っ端からログインを試みる。
        「ちくしょう全部、暗号化がかかっていやがる」
        彼は小さく舌打ちして、なおも小さなAppleWatchの画面を操作した。
        「迷宮入りになりそうだな」
        「こいつのパスコードが分かればな」
        デービッドが愚痴たその時だった……私はあるはずの無いMicroUSBケーブルが床に落ちているのを見付けた。

        親コメント
  • by Anonymous Coward on 2021年08月12日 19時03分 (#4089730)

    第7世代以前は 5.12.2.1.1 のままのようだけど。

  • by Anonymous Coward on 2021年08月12日 20時33分 (#4089783)

    kobo使っていて助かった

  • by Anonymous Coward on 2021年08月13日 9時34分 (#4089994)

    昔からfireじゃない、電子ペーパーのkindleをルート化するのって、この手の不具合使ってるんだし、修正されて半年ぐらいで、次の不具合みつかってるのだから、ことさらニュースというほどでもないような、、、

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...