Újabb mediaserver komponenst érintő Android sebezhetőséget fedezett fel a Trend Micro

 ( trey | 2015. augusztus 21., péntek - 19:35 )

A Trend Micro cég TrendLabs Security blogja arról számolt be a minap, hogy egy újabb Stagefright stílusú sebezhetőséget fedeztek fel az Android mediaserver komponensében. A sebezhetőséget kihasználva akár tetszőleges kódfuttatást is véghezvihet a támadó az áldozat rendszerén. A sebezhetőség a CVE-2015-3842 azonosítót kapta. Az Android verziók a 2.3-astól az 5.1.1-esig érintettek.

A Google már javította a hibát az AOSP-ben (Android Open Source Project). Jelenleg nincs tudomás arról, hogy a sebezhetőséget kihasználnák.

Úgy tűnik, hogy a CyanogenMod projekt az augusztus 19-i nightly build-ben javította a sebezhetőséget.

CVE-2015-3842 fixed

További részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

...ha egy üzlet beindul... :)

"Vérszagra gyűl az éji vad ..."
Még jó, hogy épp bejelentette a Google a havi rendszerességgel kiadásra kerülő biztonsági javításokat. ;-)

Ez még jóval előtte volt. A Google ezt a hibát már június 19-én javította. A közlés elvileg október 2-ig embargó alatt volt. Hogy a Trend Micro miért hozta nyilvánosságra idő előtt, az jó kérdés.

--
trey @ gépház

Egyre inkább az az érzésem, hogy rá kéne állni a droid házi fordítására.
Mert az én telómra már nem adnak ki semmit hivatalosan jóideje.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

nem csak attól függ :( Xperia L-emre lenne CM bőven, viszont Bootloader locked. Így "hivatalosan" Sony által kiadott kóddal sem tudom kilockolni. (btw Telenoros Sony Xperia L)

ps.: A sony meg egyéb gyártók pedig magasról fognak tenni a "biztonsági frissítésekre" véleményem szerint. Pedig ez annyira nem is régi készülék.

"viszont Bootloader locked"

Azon nem segít az otthon fordított Android...

Na igen. Ha bootloader lockeres, akkor az szívás. De mintha úgy rémlene hogy nagyon macerásan (és veszélyeztetve a telefonod életét) otthon is ki lehet ezeket nyitni. De inkább nem mondtam semmit.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

Ez a nagyon veszélyes dolog így nézett ki az én telefonomon:

fastboot oem unlock

Készülékvásárlásnál érdemes előre gondolkodni. A szolgáltatófüggő telefonokról pedig - noha kezdetben olcsóbbnak látszanak - a végösszeget kikalkulálva kiderül róluk, hogy nem olyan olcsók azok.

- a SIM lock feloldása miatt fizetni kell
- a boot lock feloldhatósága nem biztos (jóval kevesebb ideig lehet használni emiatt, nem tudsz rá CM-et tenni, gyakorlatilag, ahogy a gyártó levette róla a kezét, kuka)
- ha el akarod adni, a SIM lock miatt korlátozott kört érdekel (csak a szolgáltatón belülieket)
- hozzá vagy kötve a szolgáltatóhoz

Nem hiszem, hogy ez megéri.

Míg egy független telefon lehet, hogy többe kerül, de a fentiek egyike sem vonatkozik rá, ha jól választunk.

--
trey @ gépház

Ez nem úgy van, hogy ha lejár a hűség (vagy kifizeted előre) és kikódolja a telenor a sim lock-ot, akkor utána működik a sony-tól beszerezhető bootloader unlock kód?

Sajnos nem. A sim lockot is külön "kezelési költségért" ütik ki, úgy is csak azért mert jogszabályban kötelezve vannak rá. Ha olyasmit emlegetsz nekik mint a bootloader, csak hülyén néznek rád.

(Egyébként a bootloadert nem is a telenor zárja le a szoftverben. Sony-k esetében alapból zárt, de automatikusan ingyen kiadja az IMEI-hez kötődő feloldó kódot a sony. Kivéve ha az adott csomag IMEI olyan helyre került - pl telenor - aki kérte hogy ne lehessen feloldani, mert akkor nem adja ki. Ilyenkor viszont már a telefon állapotától teljesen függetlenül nincs mód a feloldó kód legitim megszerzésére :-/ )

ez nagyon gáz.

Én is ebben a cipőben járok, de azt hittem, sim unlock után felmehet egy CM, mert ki tudom nyitni a bootloadert... :(

"pl telenor"

Fura, én a telenortól vett telómat gond nélkül tudtam unlockolni (Huawei P7). Úgy látszik ebben is következetlenek :)

Nekem a Telenor-os HTC Desire HD és a Note nem volt szolgáltatóhoz kötve, se Telenoros alkalmazásokkal tele. A Note II már igen. Nem következetesek. :)

--
http://wiki.javaforum.hu/display/~auth.gabor/Home

Hivatalos CM nincs. Az XDA-n voltak lelkesebb arcok akik csináltak rá, de már ez sem járható út. Egyébként ez egy Defy+. Szóval marad a házi forgatás.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

+1
- - - - - - - - - - - -
A buszállomás az a hely, ahol a buszok állnak, a taxiállomás az a hely ahol a taxik állnak, az íróasztalomon viszont van egy munkaállomás....
300hsz feletti topicot nem olvasok.