FC2ブログ

鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzunone.0g0.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

IBMがAndroid4.3~M迄で任意のコード実行の脆弱性発見、開発側で回避する問題で新SDKの利用で解決

IBM、「Android」に脆弱性を発見--任意のコード実行のおそれ ~ CNET JAPAN
IBM X-Forceが、「Android」のデシリアライゼーション処理に存在する脆弱性を発見した。任意のコード実行と特権昇格を誘発するという。
セキュリティ研究者のOr Peles氏はブログ投稿でこの脆弱性について説明し、55%以上のAndroid端末(「Android 4.3」~「Android 5.1」)と次期「Android M」リリースの最初のプレビュー版がこの脆弱性の影響を受ける、と述べた。

Android 4.3~Android Mプレビュー版まで影響する脆弱性をIBM X-Forceが報告。

Peles氏によると、Googleは「Android 4.4」「Android 5.0」「Android 5.1」「Android M」でこの問題を修復済みで、サードパーティーのSDKはtransient修飾子の追加、コードの修正によるSWIGの使用停止、または、シリアライゼーションプロセスを使用するメソッドのオーバーライドによって、この脆弱性を修復済みだという。

根本的には開発者の方で回避可能なものという言葉が付け加えられています。
まあ開発者が自分の責任で回避するべきものですしね。
こんな所に脆弱性を作るようなコードを組む方は、他の部分でも脆弱性を抱えるコードを組むと思います。

「生成された脆弱なコードは、開発者によって与えられた稚拙な構成が原因なので、われわれはSWIGが脆弱だとは考えていない。これは、バッファオーバーフローをコンパイラのせいにするようなものだ。しかし、最も有能な開発者でも、自分が誤ってシリアライズ可能なクラスを拡張してしまったことを見逃すことはある」(Peles氏)

Googleの方でもサードパーティーの方でも既に修正済みという事で、新しいSDKを使えば
問題はないと思われます。アプリの開発側で回避すべき問題という事ですね。

関連記事
  1. 2015/08/12(水) 23:50:06|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:0
<<人に見せられない壁紙のまま、指紋認証がエラって大惨事に・・・ | ホーム | Firefox OS 2.5は11月にリリースで端末はその後に発売も遅すぎる、むしろWindowsPhoneの方に興味をそそられる>>

コメント

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/6145-ade00094
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。