鈴の音情報局blog

携帯関連の将来や最新の技術情報や業界の行く末などを適当に綴るblogです。 内容の信憑性は?余り信じない方がいいと思います。
本家の鈴の音情報局はこちら→http://suzusuzu.dip.jp:8800/
スマホ・携帯端末アクセス[ランキング][アクセスシェア(グラフ)] (毎年10/1にログをクリア)

Android側にも立て続けに脆弱性問題、その公表に見え隠れする流れを考えてみる

Android関連で脆弱性の発見が相次いでいます。
まずはこれ。

Androidに新手のマルウェア、端末を遠隔操作される恐れ ~ ITmediaニュース
SMSやMMS経由でAndroid端末に感染する新手のマルウェアが出回っているのが見つかったとして、セキュリティ企業のHeimdal Securityがブログで注意を呼び掛けた。感染すると端末を制御され、データを消去されてしまう可能性もあるという。
Heimdal Securityの2月12日のブログによると、このマルウェア「Mazar BOT」は、SMS/MMSで届くメッセージのリンクをAndroid端末でクリックすると、不正なAPKファイルが展開されて感染する。

これが出てきたのはiOSがまさに「エラー53」や「クック氏のクソ写真」が騒がれていた頃です。
私個人的には「なんか臭いタイミングだなー」とか思っていましたので様子見していました。


そこにさらにもう一つ脆弱性の報道が・・・。

「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な影響 ~ ITmediaエンタープライズ
ほとんどのLinuxアプリケーションに使われているGNU Cライブラリの「glibc」に深刻な脆弱性が見つかり、米GoogleとRed Hatの研究者が開発したパッチが2月16日に公開された。
脆弱性は2008年5月にリリースされたglibc 2.9以降のバージョンに存在する。Googleによると、glibcで「getaddrinfo()」ライブラリ機能が使われた際に、スタックベースのバッファオーバーフローの脆弱性が誘発されることが判明。この機能を使っているソフトウェアは、攻撃者が制御するドメイン名やDNSサーバ、あるいは中間者攻撃を通じて脆弱性を悪用される恐れがあるという。

こちらはとんでもないレベルの危険度を伴った脆弱性です。
しかしレッドハットとGoogleが組んで時間をかけて検証やパッチを作っていたようで、
恐らくそう簡単には再現できないもののように思います。

何故ならばこんな大手2社でここまでやっている事に加え、そもそもGNU Cのこんな基本的な
部分のライブラリに脆弱性が有ることを8年間も発見されていなかったわけで、成立条件が
かなり厳しい脆弱性のように思います。

基本的にはスタックオーバフロー系の脆弱性のように書かれていますが、DNSレゾルバを
受け入れなければ問題ないようにも思うのだけどどんなものか・・・。とりあえず異常な
名前解決をさせなければいいって事ですよね?

全然わからないのですが、めちゃくちゃ長い名前の名前解決を脆弱性のあるLinux側から
発行すると脆弱性を発揮という事でしょうか?イマイチ解らないのですが、getaddrinfo()を
呼び出すと起こるという事ですからそういう事のように思います。


で、これは恐らくiPhone側でエラー53や1970年1月1日でのiPhone再起不能問題の騒ぎに乗じて
Googleが「発表するなら今!」ということで出してきたのではないかなと想像しています。

これだけiPhoneがボロボロになっている時なら、この問題を発表しても相殺されるだろうと
いう考えなのかも知れません。

まあどっちもどっちですが、Android側のは悪用が難しく、iPhone側のは自業自得に明日は
我が身とちょっと色合いと身近さが違うような気もしますけど。特に1970年1月1日問題は
自分で設定しなければ起こり得ませんが、逆に今すぐでも起こせるという恐ろしい状態
でも有るように思います。

エラー53も高い修理を選ぶかの究極の選択を迫られますしね。
いや選択権が失われたと言った方がいいのかも知れません。

そういう意味ではAndroid側のは気をつけていれば害は有りませんし、そもそも「glibc」ライブラリの
問題はパッチの方が先に出ましたから、悪用側の人に情報が出回るのはこれからという状態です。

ちなみにiPhoneの「1970年1月1日」バグの修正はこれからです。

iPhoneの「1970年1月1日」バグ、アップデートで修正するとAppleが発表 ~ Yahoo Japanニュース
iPhoneの日付を「1970年1月1日13時00分」に設定すると、再起動後にiPhoneが使用できなくなるバグについて、Appleが「今後のソフトウェアアップデートで修正する」と発表しました。

関連記事
  1. 2016/02/17(水) 19:20:39|
  2. 携帯
  3. | トラックバック:0
  4. | コメント:2
<<周りが敵だらけのアップル、エラー53でiPhone 6が再起不能問題でアップルの下心が見える | ホーム | VAIO・東芝・富士通のパソコン事業統合、VAIO㈱の経営システムに東芝と富士通が合流する形に>>

コメント

「glibc」ライブラリに脆弱性、Linuxの大部分に深刻な・・・Androidは原則関係「ない」
http://s.webry.info/sp/powerpro.at.webry.info/201602/article_34.html

Androidそのものにglibcのソースコードが使われているわけではないけど、アプリに該当コードが使われている可能性は否定出来ないとのこと
そうなるとAndroidもiOSも対象になるという話です
  1. URL |
  2. 2016/02/17(水) 19:38:21 |
  3. Nexus7持ち #-
  4. [ 編集]

Android OSのこの手の話題は
殆どの人が驚かないからネタとして弱いし、
多分Yahoo!ニュースでも報じてなかったなぁ。
  1. URL |
  2. 2016/02/21(日) 15:47:00 |
  3. iMatt #-
  4. [ 編集]

コメントの投稿(投稿時には必ず何らかの名前を付けてください)


管理者にだけ表示を許可する

(名前を入れないとクリックできません)

トラックバック

トラックバックURLはこちら
http://suzunonejh.blog15.fc2.com/tb.php/6589-ed7e3b01
この記事にトラックバックする(FC2ブログユーザー)

最近の記事

機能リンク

最近のコメント

カテゴリー

ブログ内検索

ブログリンク

RSSフィード

QRコード

QR

月別アーカイブ



メールフォーム

お問い合わせ・ご質問はこちらから。

名前:
メール:
件名:
本文:

suzunone.m(あっと)gmail.com に
直メでもOKです。