A javításban levő hibát Jordan Gruskovnjak, az Exodus szakembere vette észre. Joshua Drake arra számít, hogy további javítások érkeznek majd a Stagefright kódbázisához a következő hónapokban. Szerinte a sztorinak messze nincs vége.
Az Exodus augusztus 7-én, a Las Vegas-i DEF CON első napján értesítette a Google-t a problémáról. Ez két nappal Drake Black Hat konferencián tartott Stagefright előadása után volt. A sebezhetőség a CVE-2015-3864 azonosítót kapta.
A részletek itt olvashatók.
- A hozzászóláshoz be kell jelentkezni
- 6294 megtekintés
Hozzászólások
http://www.cyanogenmod.org/blog/more-stagefright
The issue described in the the latest publication of Stagefright issues (link) has been patched in source for CM 10.1 -> 12.1. Nightlies for 12.1 beginning tonight (~2hours) will include this fix, in addition to all the other exploits that came as a result of Stagefright and DefCon/Blackhat.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
De legalább gyorsak voltak. :Đ
- A hozzászóláshoz be kell jelentkezni
Bámulatos, hol tart már a tudomány...
- A hozzászóláshoz be kell jelentkezni
Gyönyörű.
A szeptemberi frissítés a legjobb esetben is fél hónap múlva lesz, de lehet az 1,5 hónap is.
Kedves gúgel: lépj hátra és baszd arcon magad...
- A hozzászóláshoz be kell jelentkezni
...de qrvára baszd arcon magad ;)
- A hozzászóláshoz be kell jelentkezni
Mi mindigis mondtuk neked, hogy szar ceg a Google, de te sosem hitted el. ;)
- A hozzászóláshoz be kell jelentkezni
:)
Sokan köpködték itt a gógelt mindenféle konkrétumok nélkül, főleg fasságok alapján. Pl. amikor megjegyeztem, hogy a gógel "vadászgépe" (mármint egyik té fórumtárs szerint) valójában egy sugárhajtású kiképzőgép, akkor persze én voltam az elvakult gógelfan. Azóta Linus is hasonlóval repked, de mindegy is.
Nem ez a lényeg, ez csak egy példa. A gógel csak egy cég, és mint olyan vannak dolgai. Vannak amiket jól csinál, vagy legalább elfogadhatóan, és vannak amiket nem.
Ez a "majd szeptemberben javítjuk" hozzáállás az utóbbiak közé tartozik.
- A hozzászóláshoz be kell jelentkezni
Azért azt megjegyezném, hogy a Google a javítást már elkészítette, azt a partnereinek átadta, így ha azok akarnak, viszonylag rövid idő alatt léphetnek. Volt, aki már aznap kitolta a javítást az éjszakai buildjében.
Az, hogy a jövő hónapban jön a javítás, az sajnálatos, de semmiképpen sem nevezhető az iparágban egyedülálló jelenségnek. Ott van (vagy volt, a rossebb sem tudja már követni) a patch kedd például.
Illetve, nekem a kommunikációból az jön le, hogy a Google nem érzi akkora tragédiának a Stagefright-ot, mint amekkora a hype körülötte. Az ASLR-re hivatkoznak, ami miatt nem triviális a kihasználás. Illetve, gondolom folyamatosan monitorozzák a helyzetet és nem látják, hogy kihasználnák a hibát.
Természetesen az lenne a legjobb, ha másnap vagy még aznap javítanák az ilyen sebezhetőségeket.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Hát igen, de én nem azért vettem nexus5-öt, hogy várjak akár 1,5 hónapot arra a frissítésre, ami kész van a guglinál.
És még ha letölthető is (lenne, mert nem látom) az image, az akkor is factory reset-et jelent, ami pita.
- A hozzászóláshoz be kell jelentkezni
"A Nexus 4/5/6/7/9/10 és Nexus Player eszközök a szeptemberi havi biztonsági frissítés keretében kapják meg OTA a javítást."
Ez mind szép és jó, és nagyon fasza, hogy havonta vannak patchelések, de addig akkor mindenki vulnerable... nem kéne ezeket instant foltozni amilyen gyorsan csak lehet? Miért kell egy menetrend szerinti tervhez igazítani ilyenkor a frissítést?!
- A hozzászóláshoz be kell jelentkezni
A CyanogenMod nightly már tartalmazza a javítást. Itt az ideje lassan váltanom rá. Talán a hétvégén.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Kérdezd már meg a többi gyártót, nekik mi a vélemányük/érdekük? Vegyél egy ÚJ telefont!
- A hozzászóláshoz be kell jelentkezni
Ragyogó, minden sebezhetőség után vegyek új telefont, azaz hetente. Ezerrel tele van már a bugyrom ezzel az Androiddal!
A következő telefonom vagy Cián-kompatibilis lesz, vagy Ubuntu. Valószínübb az utóbbi...
- A hozzászóláshoz be kell jelentkezni
Frissült a Stagefright detektáló app, már detektálja a CVE-2015-3864-et is.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Nos, én még mind azt mondom, hogy ez eleve egy Google backdoor. Na most a Googleos is srácok kurva nagy szarban vannak, mert úgy kéne valamit végleg javítani, amit eleve beletettek a rendszerbe, hogy valami másikat nyissanak meg. Másképp nem tudom egyszeri felhasználóként megmagyarázni azt, hogy megint ekkora hibát vétettek.
--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.
- A hozzászóláshoz be kell jelentkezni
Mi szükségük arra, hogy egy olyan bizonytalan backdoor-ra támaszkodjanak, aminek a kihasználása az ASLR miatt nem triviális, ráadásul minden Android eszközön jelen van a Google, azt telepít amit akar (Google App-ok)?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Talán mert a goggle appokhoz mobilnet is kell, a stagefrighthoz pedig csak egy telefonszám.
------------------------
- A hozzászóláshoz be kell jelentkezni
És hogyan lopják el az adatot akkor? SMS-ben elküldi egy adott számra? Betárcsázós neten elcsiripeli?
Ezek mind benne lehetnek egy három évvel ezelőtti Play Servicesben - s annak a kódját nem túrhatja a fél net.
De, persze, tudom, ezzel a hibával is lebuktattuk a mocskos imperalistákat, s tovább gyengítjük a háttérhatalom erődítményét...
--
blogom
- A hozzászóláshoz be kell jelentkezni
Nem gondoltad ezt végig szerintem :)
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Szükségtelen átgondolni, hiszen a google köztudottan gonosz cég, ezért csak rosszat feltételezhetünk róla, és bármiben amihez köze van csak a rosszat szabad látni. :)
- A hozzászóláshoz be kell jelentkezni