アカウント名:
パスワード:
そう、彼は言ったのだ。今も言い続けてるだろうし、これからも言い続けるだろう。
またひとつLinuxの絶対安全が証明されましたね
問題があるのはLinuxじゃなくてAndroidだから
そこまで言うならちゃんとキャリアの問題と言おうよ # Googleはちゃんとパッチ出してますがな
Googleに全く非は無いかというと、そうでもない。
今回の脆弱性は、Android OSのLinux部分ではなく、その上の層でのことなんだけど、携帯電話のOSをオープンソースで出したことに起因する副作用が浮き彫りになってしまっている。
つまり、
だから、Googleの対応だけでは事態が収集できない。端末メーカー、キャリアもやる気になって、初めてユーザーのところにパッチが届く。
OSのソースを完全に提供元のコントロール下に置いているiOSやWindows Phoneでは、こういうややこしい事態には至らず、比較的速やかに事態を収拾できるだろう。
オープンソースも適材適所、運用の仕方もよく考えないといかんということやね。
デスクトップWindowsとWindows Phone 7に共通の脆弱性を報告したら、デスクトップだけ直ってWindows Phone 7はサポート終了まで逃げ切られましたけど。
デスクトップWindowsとWindows Phone 7って共通のコードってあったっけ?具体的にどんな脆弱性?
ありうるからあるってわけでもなかろう。具体的に何なのかがわからないとこれ以上の話は無駄。
返答が無いようだから、ふかしだったと言うことですかねw
キャリアがTiVo化 [wikipedia.org]を行い、サードパーティのディストロを排除しているのが一番の問題でしょう。Androidがモジュール毎に更新できないのもオカシイですが。
しかし、Windows Phoneはカスタマイズできないからとベンダーが嫌忌する現実 (実際、ハードウェアサポートが弱いから、ベンダーの言い分も正しい)。
> Windows Phoneはカスタマイズできないからとベンダーが嫌忌する現実
売れないからだろ。何年もスマホ市場でシェア2~3%台の低空飛行を続けているOSに、いまさら開発資金を投入する物好きはそう居ない。
ずっと放置されている脆弱性もありますが
そら、そういうのはどのOSにもある。比較的危険度が低い脆弱性や、まず現実的には利用することが不可能であろうという脆弱性などは放置されることも多い。
問題なのは、Androidの場合は、Googleが直ちに修正を当てるべきだと判断した脆弱性でも、Googleの行動だけではパッチをユーザーのもとまで届けることができないと言うこと。
いいえ、Linux部分にも問題あります。何故なら通常、Linuxカーネルの脆弱性がそのままで放置されており、Android OSを攻略できれば既知の方法でroot権限を奪取可能な為です。即ち通常では書き込み不可能な領域にバックドアやrootkitを仕込み、Androidのアンチウィルス製品では駆除すらできないという状況に陥ります。Linuxにroot奪取可能な脆弱性がなければLinuxに問題ないと言えたでしょうけどね。
は?CVE番号どうぞ
CVE-2012-0056 [mitre.org](実際のGalaxy Nexusを狙った攻略コード有り)とか限定的ですが時々有ります。まぁ、Linux Kernel本体狙うよりデバイスドライバ等周辺を狙う方が楽な事多いですけど。
2012年のCVEを持ち出してきて・・・Linux側では大昔に修正済み(before 3.2.2)じゃないですか
Andoridは4.4で対応済みですよね?
全端末がAndroid4.4に更新されてるなら問題ないのですがね。Windows等でもそうですが、セキュリティパッチも含むのに例えばSDカード周りの互換性がなくなるから嫌だみたいな理由で上げないユーザーも居るのも問題ですし、そもそも本件みたくパッチが配信されないのも問題。幸い、Linux kernelに長期間脆弱性が有りっぱなしなケースがあまり無いので該当バージョンが採用されてなかったとか、多種多様すぎて無差別に攻撃するには面倒な点があります。標的型だったらダメですけど。
# ちなみに、ARM系に効く実際に悪用されたCVE-2013-6282 [mitre.org]とか本当にちょこちょこ有りますので自分の端末のカーネルは大丈夫なのか個別に調べた方が良いですよ?# メーカー個別修正のバックポートパッチで直ってる事も有りますけど。
昔のAndroidはASLRが無効だったので、権限昇格攻撃がやりやすかったですね。その後、ASLRが付きましたが、32bit CPUでのASLRは弱いので、攻略可能です。今後は、64bit CPUが普及するはずなので、少し安心。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
Linuxだから安全だ。というのが彼の口癖だった (スコア:0)
そう、彼は言ったのだ。今も言い続けてるだろうし、これからも言い続けるだろう。
Re: (スコア:0)
またひとつLinuxの絶対安全が証明されましたね
Re: (スコア:0)
問題があるのはLinuxじゃなくてAndroidだから
Re: (スコア:0)
そこまで言うならちゃんとキャリアの問題と言おうよ
# Googleはちゃんとパッチ出してますがな
Re:Linuxだから安全だ。というのが彼の口癖だった (スコア:1)
Googleに全く非は無いかというと、そうでもない。
今回の脆弱性は、Android OSのLinux部分ではなく、その上の層でのことなんだけど、
携帯電話のOSをオープンソースで出したことに起因する副作用が浮き彫りになってしまっている。
つまり、
だから、Googleの対応だけでは事態が収集できない。
端末メーカー、キャリアもやる気になって、初めてユーザーのところにパッチが届く。
OSのソースを完全に提供元のコントロール下に置いているiOSやWindows Phoneでは、こういうややこしい事態には至らず、
比較的速やかに事態を収拾できるだろう。
オープンソースも適材適所、運用の仕方もよく考えないといかんということやね。
Re: (スコア:0)
デスクトップWindowsとWindows Phone 7に共通の脆弱性を報告したら、デスクトップだけ直ってWindows Phone 7はサポート終了まで逃げ切られましたけど。
Re: (スコア:0)
デスクトップWindowsとWindows Phone 7って共通のコードってあったっけ?
具体的にどんな脆弱性?
Re: (スコア:0)
別に共通のコードじゃなくても同じ脆弱性はおきる。仕様に由来するものとか、考慮点の抜けが同時多発とか。
Re: (スコア:0)
ありうるからあるってわけでもなかろう。
具体的に何なのかがわからないとこれ以上の話は無駄。
Re: (スコア:0)
返答が無いようだから、ふかしだったと言うことですかねw
Re: (スコア:0)
キャリアがTiVo化 [wikipedia.org]を行い、サードパーティのディストロを排除しているのが一番の問題でしょう。
Androidがモジュール毎に更新できないのもオカシイですが。
Re: (スコア:0)
しかし、Windows Phoneはカスタマイズできないからとベンダーが嫌忌する現実 (実際、ハードウェアサポートが弱いから、ベンダーの言い分も正しい)。
Re: (スコア:0)
> Windows Phoneはカスタマイズできないからとベンダーが嫌忌する現実
売れないからだろ。
何年もスマホ市場でシェア2~3%台の低空飛行を続けているOSに、いまさら開発資金を投入する物好きはそう居ない。
Re: (スコア:0)
ずっと放置されている脆弱性もありますが
Re: (スコア:0)
そら、そういうのはどのOSにもある。
比較的危険度が低い脆弱性や、まず現実的には利用することが不可能であろうという脆弱性などは放置されることも多い。
問題なのは、Androidの場合は、Googleが直ちに修正を当てるべきだと判断した脆弱性でも、
Googleの行動だけではパッチをユーザーのもとまで届けることができないと言うこと。
Re: (スコア:0)
いいえ、Linux部分にも問題あります。
何故なら通常、Linuxカーネルの脆弱性がそのままで放置されており、Android OSを攻略できれば既知の方法でroot権限を奪取可能な為です。
即ち通常では書き込み不可能な領域にバックドアやrootkitを仕込み、Androidのアンチウィルス製品では駆除すらできないという状況に陥ります。
Linuxにroot奪取可能な脆弱性がなければLinuxに問題ないと言えたでしょうけどね。
Re: (スコア:0)
は?
CVE番号どうぞ
Re:Linuxだから安全だ。というのが彼の口癖だった (スコア:1)
CVE-2012-0056 [mitre.org](実際のGalaxy Nexusを狙った攻略コード有り)とか限定的ですが時々有ります。
まぁ、Linux Kernel本体狙うよりデバイスドライバ等周辺を狙う方が楽な事多いですけど。
Re: (スコア:0)
2012年のCVEを持ち出してきて・・・
Linux側では大昔に修正済み(before 3.2.2)じゃないですか
Andoridは4.4で対応済みですよね?
Re: (スコア:0)
全端末がAndroid4.4に更新されてるなら問題ないのですがね。
Windows等でもそうですが、セキュリティパッチも含むのに例えばSDカード周りの互換性がなくなるから嫌だみたいな理由で上げないユーザーも居るのも問題ですし、そもそも本件みたくパッチが配信されないのも問題。
幸い、Linux kernelに長期間脆弱性が有りっぱなしなケースがあまり無いので該当バージョンが採用されてなかったとか、多種多様すぎて無差別に攻撃するには面倒な点があります。
標的型だったらダメですけど。
# ちなみに、ARM系に効く実際に悪用されたCVE-2013-6282 [mitre.org]とか本当にちょこちょこ有りますので自分の端末のカーネルは大丈夫なのか個別に調べた方が良いですよ?
# メーカー個別修正のバックポートパッチで直ってる事も有りますけど。
Re: (スコア:0)
昔のAndroidはASLRが無効だったので、権限昇格攻撃がやりやすかったですね。
その後、ASLRが付きましたが、32bit CPUでのASLRは弱いので、攻略可能です。
今後は、64bit CPUが普及するはずなので、少し安心。