Újabb mediaserver komponenst érintő Android sebezhetőséget fedezett fel a Trend Micro

Android

A Trend Micro cég TrendLabs Security blogja arról számolt be a minap, hogy egy újabb Stagefright stílusú sebezhetőséget fedeztek fel az Android mediaserver komponensében. A sebezhetőséget kihasználva akár tetszőleges kódfuttatást is véghezvihet a támadó az áldozat rendszerén. A sebezhetőség a CVE-2015-3842 azonosítót kapta. Az Android verziók a 2.3-astól az 5.1.1-esig érintettek.

A Google már javította a hibát az AOSP-ben (Android Open Source Project). Jelenleg nincs tudomás arról, hogy a sebezhetőséget kihasználnák.

Úgy tűnik, hogy a CyanogenMod projekt az augusztus 19-i nightly build-ben javította a sebezhetőséget.

CVE-2015-3842 fixed

További részletek itt.

( müzso | 2015. 08. 21., p – 23:38 )

"Vérszagra gyűl az éji vad ..."
Még jó, hogy épp bejelentette a Google a havi rendszerességgel kiadásra kerülő biztonsági javításokat. ;-)

( szilas | 2015. 08. 22., szo – 12:52 )

Egyre inkább az az érzésem, hogy rá kéne állni a droid házi fordítására.
Mert az én telómra már nem adnak ki semmit hivatalosan jóideje.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

nem csak attól függ :( Xperia L-emre lenne CM bőven, viszont Bootloader locked. Így "hivatalosan" Sony által kiadott kóddal sem tudom kilockolni. (btw Telenoros Sony Xperia L)

ps.: A sony meg egyéb gyártók pedig magasról fognak tenni a "biztonsági frissítésekre" véleményem szerint. Pedig ez annyira nem is régi készülék.

Na igen. Ha bootloader lockeres, akkor az szívás. De mintha úgy rémlene hogy nagyon macerásan (és veszélyeztetve a telefonod életét) otthon is ki lehet ezeket nyitni. De inkább nem mondtam semmit.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

Ez a nagyon veszélyes dolog így nézett ki az én telefonomon: 

fastboot oem unlock

Készülékvásárlásnál érdemes előre gondolkodni. A szolgáltatófüggő telefonokról pedig - noha kezdetben olcsóbbnak látszanak - a végösszeget kikalkulálva kiderül róluk, hogy nem olyan olcsók azok.

- a SIM lock feloldása miatt fizetni kell
- a boot lock feloldhatósága nem biztos (jóval kevesebb ideig lehet használni emiatt, nem tudsz rá CM-et tenni, gyakorlatilag, ahogy a gyártó levette róla a kezét, kuka)
- ha el akarod adni, a SIM lock miatt korlátozott kört érdekel (csak a szolgáltatón belülieket)
- hozzá vagy kötve a szolgáltatóhoz

Nem hiszem, hogy ez megéri.

Míg egy független telefon lehet, hogy többe kerül, de a fentiek egyike sem vonatkozik rá, ha jól választunk.

--
trey @ gépház

Sajnos nem. A sim lockot is külön "kezelési költségért" ütik ki, úgy is csak azért mert jogszabályban kötelezve vannak rá. Ha olyasmit emlegetsz nekik mint a bootloader, csak hülyén néznek rád.

(Egyébként a bootloadert nem is a telenor zárja le a szoftverben. Sony-k esetében alapból zárt, de automatikusan ingyen kiadja az IMEI-hez kötődő feloldó kódot a sony. Kivéve ha az adott csomag IMEI olyan helyre került - pl telenor - aki kérte hogy ne lehessen feloldani, mert akkor nem adja ki. Ilyenkor viszont már a telefon állapotától teljesen függetlenül nincs mód a feloldó kód legitim megszerzésére :-/ )

Hivatalos CM nincs. Az XDA-n voltak lelkesebb arcok akik csináltak rá, de már ez sem járható út. Egyébként ez egy Defy+. Szóval marad a házi forgatás.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.