アカウント名:
パスワード:
先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。
Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。
攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(
> Google の対応は、大変無責任ではないでしょうか?
大変無責任ではない。Googleは脆弱性を修正したバージョンを公開しているから。問題なのは、メーカーやキャリアが修正したバージョンを配布しないことである。
(1) Googleのソースコード ↓(2) メーカーやキャリアが独自にカスタマイズ ↓(3) エンドユーザー
Googleが(2)をすっとばしてエンドユーザーに修正版を届けることはできない。
Google の対応が大変無責任ではないことがわかりましたか?
でもメーカーやキャリアにとってカスタマイズしたものを新しいバージョン向けにもう一度作り直せというのも酷な話。LTSみたいなものがあればまだ改善できる気もします。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
Android 4.3 以前 を安全に使う方法 (スコア:5, 参考になる)
先月タレコんだ [srad.jp]のですが、残念ながら却下されてしまったので、ここに書いておきます。
Android 4.3(Jelly Bean)以前のバージョンの Android OS(4.3 を含む)には、悪意のあるコードを含むWebページをロードしただけで、Google Play ストア上の任意のアプリをインストール・実行可能な脆弱性が複数あることが判明しています(Silent but violent: Foul Google Play flaw lets hackers emit smelly apps [theregister.co.uk])。
攻撃の手法には、標準ブラウザ または WebView を利用したブラウザ・アプリ内の広告表示枠等で UXSS(Universal Cross Site Scripting)を行う方法の他、GPS 機能の XSS(Cross Site Scripting)脆弱性を突く方法があります(
Re:Android 4.3 以前 を安全に使う方法 (スコア:1)
> Google の対応は、大変無責任ではないでしょうか?
大変無責任ではない。Googleは脆弱性を修正したバージョンを公開しているから。
問題なのは、メーカーやキャリアが修正したバージョンを配布しないことである。
(1) Googleのソースコード
↓
(2) メーカーやキャリアが独自にカスタマイズ
↓
(3) エンドユーザー
Googleが(2)をすっとばしてエンドユーザーに修正版を届けることはできない。
Google の対応が大変無責任ではないことがわかりましたか?
Re: (スコア:0)
でもメーカーやキャリアにとってカスタマイズしたものを新しいバージョン向けにもう一度作り直せというのも酷な話。
LTSみたいなものがあればまだ改善できる気もします。