Groups
Conversations
All groups and messages
Send feedback to Google
Help
Training
Sign in
Groups
Android セキュリティ部
Conversations
About
Groups keyboard shortcuts have been updated
Dismiss
See shortcuts
AndroidのStagefrightにおける脆弱性
50 views
Skip to first unread message
丹羽直也
unread,
Jul 30, 2015, 8:52:34 AM
7/30/15
Reply to author
Sign in to reply to author
Forward
Sign in to forward
Delete
You do not have permission to delete messages in this group
Copy link
Report message
Show original message
Either email addresses are anonymous for this group or you need the view member email addresses permission to view the original message
to Android セキュリティ部 ML
すでに大きな話題を読んでいますが、Android 2.2-5.1.1(r5)、すなわち現行機種ほぼ全てに影響をおよぼす脆弱性が発見されました。
http://jvn.jp/vu/JVNVU92141772/
基本的には整数オーバーフローの脆弱性のようで、攻撃が成立すると端末のStragefright(動画を再生するためのソフトウェアコーデック)の権限でコードの実行が可能とのことです。Googleがパッチを公開し、これから順次メーカーから更新版が配布される予定とのことです。しかし、大居氏( @a4lg )の個人Twitter曰く、現在Googleがメーカーに提供しているパッチには不備があり、もしパッチの配布が完了したとしても、脆弱性が完全には塞がれない可能性があるとのことです。(あくまで個人的なTwitterでの発言では有りますが)
https://twitter.com/a4lg/status/626567477661581312
https://twitter.com/a4lg/status/626567530555944960
https://twitter.com/a4lg/status/62656760021914419
また整数オーバーフローの脆弱性のため、ASLR(アドレスランダム化)が有効に働いている環境下では攻撃が成立する可能性を下げることができ、Androi 4.1以降のバージョンでは脆弱性の緩和が期待される…はずですが、Zimperium zLabsのブログのスクリーンショットはAndroid 5系のものであるため、ちょっとこの辺りどうなってるかの情報をお持ちの方がいれば教えて下さい。
--
Naoya Niwa
丹羽直也
unread,
Jul 30, 2015, 8:53:23 AM
7/30/15
Reply to author
Sign in to reply to author
Forward
Sign in to forward
Delete
You do not have permission to delete messages in this group
Copy link
Report message
Show original message
Either email addresses are anonymous for this group or you need the view member email addresses permission to view the original message
to Android セキュリティ部 ML
3つ目のTwitterのリンク、URLがかけてしまいました…
https://twitter.com/a4lg/status/626567600219144193
です。
2015年7月30日(木) 21:52 丹羽直也 <
mi...@mine-studio.com
>:
--
Naoya Niwa
劉煜
unread,
Aug 25, 2015, 5:15:28 AM
8/25/15
Reply to author
Sign in to reply to author
Forward
Sign in to forward
Delete
You do not have permission to delete messages in this group
Copy link
Report message
Show original message
Either email addresses are anonymous for this group or you need the view member email addresses permission to view the original message
to Android セキュリティ部
丹羽さん
初めまして。劉と申します。
Stagefrightに関わったことがあるので、今回発見された脆弱性について簡単な分析を展開させて頂きます。
興味がある方はご参照くささい。
Stagefright脆弱性分析:
http://www.evernote.com/l/ARwYHaYOLY9Ix5xJR44Fh1K6EiWkwpgvvXE/
よろしくお願い致します。
2015年7月30日木曜日 21時53分23秒 UTC+9 丹羽直也:
Reply all
Reply to author
Forward
0 new messages