Stagefright Detector 5.0

Szerszám

Stagefright Detector 5.0 CM 12.1 Nightly-n
Stagefright Detector 5.0 CM 12.1 Nightly-n

A "Stagefright" Android sebezhetőséget felfedező Zimperium azt ígérte, hogy ha megérkeznek a javítások a Google-től a legújabb Stagefright sebezhetőségekre, akkor frissíteni fogja detektor alkalmazását. A javítás pár nappal ezelőtt megérkezett, a Zimperium pedig tartotta szavát és kiadta a Stagefright Detector 5.0-s kiadását. A változások listája szerint az 5.0-s kiadás abban tér el a 4.1-estől, hogy immár detektálja CVE-2015-3876 és CVE-2015-6602 hibajegyek által leírt sebezhetőségeket is.

( Zahy v | 2015. 10. 09., p – 16:29 )

Hát ez csúnya volt. Kemény 2 napja jött meg a telefonomra a frissítés, ami külön kiemelte, hogy pl. a Stagefright elleni javításokat tartalmazza. Akkor le is futtattam az akkori verziót, és boldogan láttam, hogy juhé. No mindegy, két napig védett voltam :-)

( szilas | 2015. 10. 09., p – 16:57 )

Nálam az eddigi 1 helyett már 2 sebezhetőség van.

Most csak úgy általában: Azt nem értem, miért nem lehet letiltani úgy ahogy van ezeket a libeket? Illetve az őket használó alkalmazásokat?
Remélem a gúgl tanul belőle. És az összes többi "rendszer" szállító is.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

": Azt nem értem, miért nem lehet letiltani úgy ahogy van ezeket a libeket? Illetve az őket használó alkalmazásokat?"

Miért kéne letiltani ezeket a libeket? Amiben hiba van, azt ki kell javítani vagy újra kell írni.

"Remélem a gúgl tanul belőle."

Nem értem, hogy a "gúgl"-nek mit kellene tanulnia. A hibát jelentették és a Google kijavította. A referenciakészüléke (Nexus) gyk. ami a többi gyártónak példaként szolgál, patchelve van. A gyártók azok, akiket picsán kéne rúgni. A patch kinn van, csak rajtuk múlik, hogy mikor OTA-zak le a javítást. Ez nem lehetetlen. A Silent Circle pl. október 6-án javította Blackphone-ját ezekre a sebezhetőségekre a PrivatOS 1.1.12-ben. Ugyanakkor, amikor a CyanogenMod a 12.1 Nightly-ben.

Ha fontos a biztonság, tessék olyan készüléket / firmware-t használni, ami azonnal reagál. Létezik ilyen, amint a mellékelt ábra mutatja.

--
trey @ gépház

Azért ha ilyen könnyű ezen a sebezhetőségen keresztül root jogosultságot szerezni, akkor a Google kiadhatná a javítást egy egyszerű apk fájl formátumban is a playen. Ezt azért nem teszi meg, mert a saját backdoorját baromira nem akarja megszüntetni. Aszondja, hogy ő mindent megtett, aztán mossa kezeit.
--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Az egyik, hogy technikailag lehet-e. De szerintem joga sem lenne a Google-nek rendszerszintű módosításokat végezni pl. a szolgáltatók telefonjain. A szolgáltatók felelnek az ügyfelek felé a firmware-ekért. Nem véletlenül az ő kezükbe van adva a dolog.

--
trey @ gépház

Ebben teljesen igazad van. A kérdésem inkább elméleti volt. Arra akartam célozni, hogy remélem a rendszer szállító cégek egy ilyen piacon (mobiltelefon), ami a nem programozó pistikhez is eljut, olyan komplett rendszert terveznek, ami a már említett rendszer apk-val is javítható. Vagy mondjuk OTA frissítésen keresztül. Csak a hibás rész.

Egyébiránt én (is) custom firmet használok. De már nem fejleszti a csóka. Úgyhogy szivacs.

---------------------------------------------------------------
Ritkán szólok hozzá dolgokhoz. Így ne várj tőlem interakciót.

( kozel | 2015. 10. 09., p – 20:54 )

Nalam ketto volt zold, a tobbi piros. Konkluzio: leszarom.

( nevergonealfa | 2015. 10. 10., szo – 09:58 )

Nálam is "csak" a 6602 nincs javítva. (lenovo k910) nem hivatalos cm11 rommal. Remélem azt is hamarosan javítják.
A lenovo nem nagyon erőlteti magát.
----
FreeBSD, Solaris, Debian, LMDE

( krychek | 2015. 10. 10., szo – 10:55 )

8-ból 6 elbukik SGS5-ön.
Ideje Cyanogen-re váltani? Kezeli a dual simet és a fingerprintet?

( CzLaci | 2015. 10. 10., szo – 16:13 )

MIUI, Magyar Fejlesztői ROM 5.9.24 -> Szuperzöld, nem is hittem volna, róla.

--
Lenovo E335, LMDE 2 & Cinnamon

( dyra | 2015. 10. 10., szo – 20:31 )

A fene a kis S3 minimre ép a napokban tettem fel az 5.1.1-t (cynenogen) sajnos CVE-2015-3876 és CVE-2015-6602 bukta. Hát ez van.

ui: úgy tudtam CyanogenMod 12.1 már tartalmazta a javítást. Persze amit én a telomra dobtam ROM az egy Szeptember 16-os kiadás. Remélem foltozzák.

--
honlapom http://dyra.eu/

( dim69 | 2015. 10. 11., v – 08:38 )

MIUI7 5.10.8 (fejlesztői) nincs sebezhetőség. Az 5.9.17-nél a 6602-es volt javítatlan. Tegnap frissítettem az OS-t.

( Polesz v | 2015. 10. 12., h – 16:37 )

ZTE Open C -> CM 12.1 -> Not Vulnerable

--
A főnököm mindig megtartja amit ígér, ha pénzt ígér azt is!