The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]



"Серия критических уязвимостей в Android"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Серия критических уязвимостей в Android"  +/
Сообщение от opennews (??) on 07-Ноя-17, 11:59 
В ноябрьском (https://source.android.com/security/bulletin/2017-11-01) обновлении платформы Android устранено  9 критических уязвимостей, часть из которых потенциально можно эксплуатировать удалённо. Три критические уязвимости (CVE-2017-11013, CVE-2017-11014, CVE-2017-11015) найдены (https://pleasestopnamingvulnerabilities.com/) в беспроводном драйвере Qualcomm/Atheros и позволяют осуществить удалённую атаку через WiFi-сеть, путём отправки специально оформленных управляющих кадров 802.11. Драйвер qcacld включает почти 700 тысяч строк кода, в основном из-за того, что уровень управления доступом к среде  MAC (https://ru.wikipedia.org/wiki/%D0%A3%D0%...) (Media Access Control), отвечающий за адресацию и механизмы управления доступом, вынесен на сторону драйвера.


Одна критическая уязвимость (CVE-2017-0841) присутствует в системных компонентах и позволяет добиться удалённого выполнения кода (подробности пока не сообщаются).  5 критических уязвимостей (CVE-2017-083[23456]) устранено в медиафреймворке и  позволяют организовать выполнение кода с правами процесса mediaserver при обработке специально оформленного контента. Например, уязвимость может быть эксплуатирована при открытии непроверенных мультимедийных данных в браузере или при воспроизведении MMS-сообщения.


URL: https://source.android.com/security/bulletin/2017-11-01
Новость: https://www.opennet.ru/opennews/art.shtml?num=47525

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Серия критических уязвимостей в Android"  +13 +/
Сообщение от Аноним (??) on 07-Ноя-17, 11:59 
А до сих пор продают устройства с 4.4 (провинция, да-да...)
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

7. "Серия критических уязвимостей в Android"  –21 +/
Сообщение от trdm (ok) on 07-Ноя-17, 12:36 
Старые фоны на андроиде восновном на позвонить юзают.
А вот смарты пошире для инета. На них современный андроид и обновляется.
Надо уточнить характер уязвимости.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

38. "Серия критических уязвимостей в Android"  +3 +/
Сообщение от Аноним (??) on 07-Ноя-17, 17:54 
> Старые фоны на андроиде восновном на позвонить юзают.

А ты проводил статистические исследования? Где ссылка на твои данные?
Чего, если у тебя четвёртое ведро, то в интернет уже нельзя зайти? Там всё обрубленно и ничего не показывают для 4.4? Или ты сам должен всё время медитировать: "у меня 4.4, мне нельзя в интернет.. у меня 4.4, мне нельзя в интернет.."?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

8. "Серия критических уязвимостей в Android"  +3 +/
Сообщение от ryoken (ok) on 07-Ноя-17, 12:37 
> А до сих пор продают устройства с 4.4 (провинция, да-да...)

Я вам больше скажу - если брать такой класс девайсов, как электронные книжки, так там и 4.2 вполне в порядке вещей, а с обновлениями ВИЛЫ. Приичём у книжек часто и WiFi на борту.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

30. "Серия критических уязвимостей в Android"  +3 +/
Сообщение от Аноним (??) on 07-Ноя-17, 15:42 
2.2.1
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

2. "Серия критических уязвимостей в Android"  +/
Сообщение от kk (??) on 07-Ноя-17, 12:06 
Но обновления эти увидят только устройства "вменяемых" производителей и только из топовых линеек
Ондроед такой ондроед
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Серия критических уязвимостей в Android"  +10 +/
Сообщение от лютый жабист__ on 07-Ноя-17, 12:16 
Кто лучше? Конкретно пальцем ткни, плиз.

Только не в яблогрызки, там как у ворон, жизнь длинная, но позорная...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Серия критических уязвимостей в Android"  –5 +/
Сообщение от Аноним (??) on 07-Ноя-17, 12:23 
позорная зато с обновлениями безопасности, прям как у гнулинукса
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

32. "Серия критических уязвимостей в Android"  +/
Сообщение от Аноним (??) on 07-Ноя-17, 15:54 
Они как раз относятся к той же категории которая и на андроиде получает обновления
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

80. "Серия критических уязвимостей в Android"  +/
Сообщение от Аноним (??) on 11-Ноя-17, 16:54 
> позорная зато с обновлениями безопасности, прям как у гнулинукса

Эппл вообще дает свой телефон в аренду а не в собственность, там даже свою программу без одобрения эпплом не поставишь. Хренли толку с такой безопасности, при которой эппл может всегда надрать любого. Китайцев надрали на приложения VPN, например. И фиг оспоришь.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

14. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от Другой аноним on 07-Ноя-17, 13:20 
А про кого говорить тогда, если основных игрока всего два? И у одного из них с безопасностью и с закрытием дыр дела совсем скверные.

P.S.
Я сам являюсь пользователем андроид, но объективно говоря, ситуация не радужная.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

20. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от iPony on 07-Ноя-17, 13:39 
Вообще есть ещё Sailfish. Её даже рекомендуют как экспортное замещение.
И по сути ситуация относительно радужная 🌈 даже на ведройде, если у тебя какой-нибудь гугловый Pixel. А остальные да, ешьте, что дают, ибо не дают.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "Серия критических уязвимостей в Android"  +1 +/
Сообщение от Другой аноним on 07-Ноя-17, 14:00 
Как вы можете знать, что sailfish или tizen безопасны, если их доля рынка мизерная? Т.е. они безопасны по-умолчанию, потому как их никто не "щупал".
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

27. "Серия критических уязвимостей в Android"  –9 +/
Сообщение от iPony on 07-Ноя-17, 14:15 
> Как вы можете знать, что sailfish или tizen безопасны, если их доля

Совершенно верно. В Tizen кстати весьма средний код. А ведь качество кода во многом и определяет секььюрность продукта

Кстати раз уж затронули про Tizen, рекомендую ознакомится с анализом от команды PVS-Studio  https://www.viva64.com/en/b/0508/
И напоминаю, что попробовать PVS-Studio может каждый https://www.viva64.com/en/pvs-studio-download-linux/

Но вообще принцип неуловимого Джо как и с линуксом работает.


Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

34. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от rshadow (ok) on 07-Ноя-17, 17:10 
Нельзя сравнивать две совершенно разных схемы. Тут либо на звонок мелодии надо покупать, и прочие радости айфона. Либо выбирать из кучи вендоров которые будут обновлять: свободные прошивки а-ля lineageos, или кто реально делает обновления, например xiaomi с зондом чуть менее длинным чем у эппла.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

52. "Серия критических уязвимостей в Android"  –1 +/
Сообщение от Аноним (??) on 07-Ноя-17, 22:07 
У меня OnePlus 3t, дешевле, мощней, красивей чем Pixel. Обновляют стабильно, сейчас я на восьмерке. А Pixel как и Nokia просто переплата за бренд.
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

66. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от Аноним (??) on 08-Ноя-17, 08:16 
>  OnePlus 3t,
> Обновляют стабильно

так, сабжевые прилетели уже? А фиксящие KRACK attack ?

Ответить | Правка | ^ к родителю #52 | Наверх | Cообщить модератору

71. "Серия критических уязвимостей в Android"  –1 +/
Сообщение от Groosha email on 08-Ноя-17, 13:45 
На "пятёрку" прилетело: https://phandroid.com/2017/11/02/oneplus-5-krack-wifi-fix/
По идее, на остальные тоже должно прилететь в рамках общего обновления Оксиджена
Ответить | Правка | ^ к родителю #66 | Наверх | Cообщить модератору

60. "Серия критических уязвимостей в Android"  +/
Сообщение от Led (ok) on 08-Ноя-17, 02:25 
> Я сам являюсь пользователем андроид, но объективно говоря, ситуация не радужная.

Вот здесь ты прав: радужная "ситуация" - у макофилов.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

21. "Серия критических уязвимостей в Android"  –1 +/
Сообщение от 122 on 07-Ноя-17, 13:50 
https://download.lineageos.org/
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

53. "Серия критических уязвимостей в Android"  –1 +/
Сообщение от Bronte on 07-Ноя-17, 22:28 
> Кто лучше? Конкретно пальцем ткни, плиз.

SAMSING, Xiaomi регулярно получают обновления, если говорит о конкретных девайсах, то речь идет о J3, J7 и Redmi 4 Pro. Самсунги получают обновления чаще

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

74. "Серия критических уязвимостей в Android"  +/
Сообщение от pavlinux (ok) on 08-Ноя-17, 16:36 
>> Кто лучше? Конкретно пальцем ткни, плиз.
> SAMSING, Xiaomi

Ой, всё.

Ответить | Правка | ^ к родителю #53 | Наверх | Cообщить модератору

59. "Серия критических уязвимостей в Android"  –3 +/
Сообщение от marks on 08-Ноя-17, 01:45 
Ну не обязательно
> и только из топовых линеек

Существует масса девайсов однозначно не топовых линеек, которые получают обновления. Но в общем и целом согласен.
1. Цель разработчиков Андроид для меня вообще загадочна. Ни дня без анонса нового андроида. Гуглшочек, не вари. Производителям просто не угнаться за такими темпами. Даже если он считается вменяемым, то каждый апдейт нужно переписать под дрова каждого устройства и потестировать и выпускать. Это большие расходы. Если бы андроид обновлялся раз в пару лет, то было бы проще производителям.
2. Производители пытаются заработать и заработать, а не заботиться о купленных покупателями девайсах. "Нет обновлений? Зато есть три новых телефона, купи их". Максимум вяло копаются в течении навязанных гуглом 1.5 лет, а то и совсем забивают.

Мне кажется, что все очень стараются для того, чтобы и вмемяемые вполне люди хотели альтернативы и даже покупали айфоны просто для того, чтобы тебя не опрокинули с апдейтами. Хотя потихоньку появляются и среди андроидо-производителей желающие поддерживать телефоны долго.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

65. "Серия критических уязвимостей в Android"  –3 +/
Сообщение от Аноним (??) on 08-Ноя-17, 07:06 
Обновления не увидят пользователи относительно старых, но ещё не потерявших своей актуальности, смартфонов от производителя ОС (Nexus 4,5). Собственно говоря, при подобном неуважении к пользователям от самой "корпорации "добра"" ждать какого-либо суда от сторонних производителей вряд-ли стоит.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Серия критических уязвимостей в Android"  –1 +/
Сообщение от Аноним123 on 07-Ноя-17, 12:27 
Гнилозуб уже выключить пришлось. Че теперь еще и WiFi выключать?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

10. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от iPony on 07-Ноя-17, 12:48 
А тебя BroadPwn пролетел?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

36. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от Аноним (??) on 07-Ноя-17, 17:30 
WiFi тоже недавно ломали, Самсунг внезапно(до этой уязвимости собирался трогать только топ девайсы) обновил мой девайс до 7 дроида с попутным устранением уязвимости и тут опять...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

6. "Серия критических уязвимостей в Android"  –3 +/
Сообщение от ЕщёОдинНытик on 07-Ноя-17, 12:31 
пользователи не получат обновления, т.к. производители положили болт на них
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

19. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от Аноним (??) on 07-Ноя-17, 13:37 
дед егор сам накатил обновление на радиоточку, оно по ночам включалось и шипело 'долой тирана'
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от iPony on 07-Ноя-17, 12:46 
В среднем ведройде уже такая знатная бочка уязвимостей в WiFi и Bluetooth
Но пока не бабахает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

51. "Серия критических уязвимостей в Android"  –1 +/
Сообщение от Аноним (??) on 07-Ноя-17, 22:07 
А как давно вы обновляли прошивку своего WiFi роутера?
А там дырок поболее будет. И не страшно что бабахнет?  
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

58. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от Аноним (??) on 08-Ноя-17, 01:35 
WiFi роутер не таскают по городу и не подключают к случайным открытым сетям. Впрочем после недавнего фиаско WPA все сети можно считать условно открытыми...

WAIT OH S~

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

73. "Серия критических уязвимостей в Android"  –4 +/
Сообщение от iPony on 08-Ноя-17, 14:02 
> Впрочем после недавнего фиаско WPA все сети можно считать условно открытыми...

Нет, конечно. Проблема не касается роутеров, если они сами не подключены как WiFi клиент к другой точке. А всё же большинство имеют подключение роутера к проводному источнику интернетов.

А клиенты залатаны, ну кроме одноразовых android

Ответить | Правка | ^ к родителю #58 | Наверх | Cообщить модератору

72. "Серия критических уязвимостей в Android"  –3 +/
Сообщение от iPony on 08-Ноя-17, 13:59 
> А как давно вы обновляли прошивку своего WiFi роутера? А там дырок поболее будет. И не страшно что бабахнет?

В декабре 2016. С 2013 года не было ни одной эксплуатируемой дырки. Не страшно.

Ответить | Правка | ^ к родителю #51 | Наверх | Cообщить модератору

23. "Серия критических уязвимостей в Android"  –3 +/
Сообщение от Аноним (??) on 07-Ноя-17, 13:59 
>Драйвер qcacld включает почти 700 тысяч строк кода

Ну а что вы хотели от сишечки? Думаю, там можно свободно найти 10 реализаций строк, 30 видов массивов и пару штук деревьев. Разумеется, всё это щедро посыпано выходами за границы массивов и прочим сишным скрапом.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

28. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от Аноним (??) on 07-Ноя-17, 14:36 
На защищённой джаве/сишарпе писать?
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

24. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от DmA (??) on 07-Ноя-17, 13:59 
Интересно сколько уязвимостей в старых Андроидах(1.0-3.0)? Сотни наверно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

26. "Серия критических уязвимостей в Android"  –3 +/
Сообщение от Аноним (??) on 07-Ноя-17, 14:14 
Странно - про продукты Oracle - баги суммируют и выносят в заголовок - а про андроид нет..
Стесняются ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

42. "Серия критических уязвимостей в Android"  +1 +/
Сообщение от Аноним (??) on 07-Ноя-17, 18:05 
Просто оакл про свои баги ничего, кроме их количества, и не рассказывает.
Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

29. "Серия критических уязвимостей в Android"  –4 +/
Сообщение от Адекват (ok) on 07-Ноя-17, 15:14 
Так может тем, кто не рутовал дейвайс - бояться нечего :) ?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

33. "Серия критических уязвимостей в Android"  –1 +/
Сообщение от Аноним (??) on 07-Ноя-17, 16:41 
Именно так, бояться нечего. Производителю виднее какой софт безопасный, а какие дырки - не баги, а фичи.
Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

40. "Серия критических уязвимостей в Android"  +/
Сообщение от Аноним (??) on 07-Ноя-17, 17:58 
ой да ладно, всего то 9. вы говорите опасносте, дырка на дырке. а тут с каждым месяцем их все меньше и меньше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

45. "Серия критических уязвимостей в Android"  –3 +/
Сообщение от Аноним (??) on 07-Ноя-17, 20:42 
Как узнать уязвим мой смртфон или нет?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

54. "Серия критических уязвимостей в Android"  –3 +/
Сообщение от pavlinux (ok) on 07-Ноя-17, 23:02 
Деньги со счёта пропадают? Нет, значит всё нормально.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

56. "Серия критических уязвимостей в Android"  +/
Сообщение от Аноним (??) on 07-Ноя-17, 23:08 
Уязвим.
Не стоит благодарности.
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

62. "Серия критических уязвимостей в Android"  –4 +/
Сообщение от Аноним (??) on 08-Ноя-17, 03:28 
Пылевлагонеуязвим, IP99
Ответить | Правка | ^ к родителю #45 | Наверх | Cообщить модератору

64. "Серия критических уязвимостей в Android"  –4 +/
Сообщение от Дуплик (ok) on 08-Ноя-17, 07:00 
>беспроводном драйвере Qualcomm/Atheros

Хорошо, что Broadcom покупает Qualcomm. Качество кода возрастёт на порядок, сортировок пузырьком в дровах не будет, например.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

70. "Серия критических уязвимостей в Android"  –3 +/
Сообщение от Аноним (??) on 08-Ноя-17, 13:06 
> Broadcom покупает Qualcomm

Что, серьёзно? И там теперь тоже будет блоб на блобе?

> Качество кода возрастёт на порядок

Конечно, все мы помним broadpwn…

Ответить | Правка | ^ к родителю #64 | Наверх | Cообщить модератору

77. "Серия критических уязвимостей в Android"  +/
Сообщение от Vendetta (??) on 08-Ноя-17, 17:25 
Критические дни анжроеда. Вот поэтому ставлю CopperheadOS, в котором парни перелопатили код и изменили сам принцип подхода к безопасности. Ждать безопасности от корпорации бабла, или взять инициативу в свои руки и поставить нормальную прошивку, где упор на безопасности стоит во главе угла - каждый решает сам.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

78. "Серия критических уязвимостей в Android"  –2 +/
Сообщение от Аноним (??) on 08-Ноя-17, 22:44 
где PoC хочу проверить девайс соседа)))
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

79. "Серия критических уязвимостей в Android"  +/
Сообщение от Led (ok) on 11-Ноя-17, 01:05 
> хочу проверить девайс соседа)))

Фууу!

Ответить | Правка | ^ к родителю #78 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру