- A hozzászóláshoz be kell jelentkezni
- 6489 megtekintés
Hozzászólások
- CONFIG_KEYS kernelek érintettek csak
- Grsec/PaX REFCOUNT megvéd
- SMAP és Grsec/PaX UDEREF nehezít
- A hozzászóláshoz be kell jelentkezni
Az exploit elérhető. De valahogy nem találom a commit-ot, ahol javítják. A CVE-2016-0723-at javító commit-ra ehhez képest elég hamar rá lehet akadni...
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
Ez nem az?
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Nagyonkösz, valamit bénáztam...
"Jegyezze fel a vádhoz - utasította Metcalf őrnagy a tizedest, aki tudott gyorsírni. - Tiszteletlenül beszélt a feljebbvalójával, amikor nem pofázott közbe."
- A hozzászóláshoz be kell jelentkezni
Egyebek mellett:
- CVE-2016-0728 Keys: reference leak in join_session_keyring (rhbz 1296623 1297475)
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni
Tudja esetleg vki, h Cyanogenmod adott már ki patchet erre / tervezik-e?
- A hozzászóláshoz be kell jelentkezni
Szerintem az AOSP-ból veszik át a biztonsági javításokat, az jelenleg a januári verziónál tart (Android Security Patch Level - 2016. jan. 1.). Hacsak soron kívül nem javítják (a mai nightly-ig bezárólag nem látok ilyet), akkor csak a következő AOSP bulletinnel van rá esély.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Kíváncsi vagyok, hogy a Samu és a többi blast-from-the-past mobilgyártó ad majd-e ki frissítést?
- A hozzászóláshoz be kell jelentkezni
A tobbire se adtak, miert pont erre?
--
"You can hide a semi truck in 300 lines of code"
- A hozzászóláshoz be kell jelentkezni
Az is kérdés mi történik meg előbb, a privilégium szintemelés vagy, hogy lemerül a telefon. :P
- A hozzászóláshoz be kell jelentkezni
Biztos nagyon nehéz lesz olyan exploitot írni, amelyik akkor aktiválódik, amikor a telefon rákerül a töltőjére... ;)
- A hozzászóláshoz be kell jelentkezni
Mindenesetre adva vagyon egy kiváló rootolási lehetőség tetszőleges (3.8+ kernelt futtató) Android alapú telóhoz v. tablethez (van ilyen? :o). Az egyetlen bibi csak az, hogy ezzel bármelyik app is élhet. :-D
- A hozzászóláshoz be kell jelentkezni
Rákérdeztem, a válasz az, hogy a CM lehet, hogy nem érintett (én is csodálkozom), de ennek ellenére megkezték a kernelek patchelését. A munka folyik.
Egyébként többen is megkérdőjelezik a Perception Point androidos kijelentését (az Androidos eszközök 66% érintett). Inkább úgy tűnik, hogy nagy részük nem érintett, de mivel elég felületes a Perception Point publikus bejelentése az androidos eszközökről, az a helyes út, amit a CM csinál. Biztos ami biztos, patchelnek.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Köszi az utánajárást, meg hogy megosztottad!
- A hozzászóláshoz be kell jelentkezni
+1
- A hozzászóláshoz be kell jelentkezni
https://plus.google.com/+AdrianLudwig/posts/KxHcLPgSPoY
"We have prepared a patch, which has been released to open source and provided to partners today. This patch will be required on all devices with a security patch level of March 1 2016 or greater.
In addition, since this issue was released without prior notice to the Android Security Team, we are now investigating the claims made about the significance of this issue to the Android ecosystem. We believe that the number of Android devices affected is significantly smaller than initially reported.
We believe that no Nexus devices are vulnerable to exploitation by 3rd party applications. Further, devices with Android 5.0 and above are protected, as the Android SELinux policy prevents 3rd party applications from reaching the affected code. Also, many devices running Android 4.4 and earlier do not contain the vulnerable code introduced in linux kernel 3.8, as those newer kernel versions not common on older Android devices."
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
- A hozzászóláshoz be kell jelentkezni
Szoval barmelyik app-nek van root-ja, mikozben nekem nincs a sajat telefonomon.
Franko.
Mas is latja, mi a gond ezzel?
- A hozzászóláshoz be kell jelentkezni
Androidon az SElinux elvileg „megnehezíti” a támadó dolgát. Mondjuk ez nem tudom, pontosan mit takar. De ha desktop procin 30 perc alatt futott le, akkor mobilon - nehezítve - gondolom napokig tart.
- A hozzászóláshoz be kell jelentkezni
Mennyivel kellemesebb érzés, hogy a támadó csak egy hét múlva szerez root jogot. ;)
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni
Addigra kijön a patch CM-ra. Ja, mellesleg naponta rebootolom a telót ;)
- A hozzászóláshoz be kell jelentkezni
Valószínűleg valami elkerülte a figyelmem, de
"The vulnerability affects any Linux Kernel version 3.8 and higher."
A mai éjszakai CM 13.0-s nightly a telefonomon:
Kernel 3.4.110-cyanogenmod-g537566c
Jó volna valami egyértelműbb bejelentés, mert ez így csak találgatás.
--
trey @ gépház
- A hozzászóláshoz be kell jelentkezni
Érdekes, az enyém meg 3.0.x (szintén CM13 nightly). Akkor job done :)
- A hozzászóláshoz be kell jelentkezni
Doctorow's Law: "Anytime someone puts a lock on something you own, against your wishes, and doesn't give you the key, they're not doing it for your benefit."
---
Well, I think part of thesis here is that in many ways I feel like the cypherpunks were preparing for a future, and the future that they anticipated was fascism. But what we got was social democracy. And that’s not necessarily better, it’s just different.
Let me give you an example. How many people in this room would feel good about a law which required everyone to carry a government-mandated tracking device with them at all times?
Not even one person, right? So that’s fascism, right? That’s the fascist future.
Now, let me ask you another question. How many people here carry a mobile phone? I’m guessing, actually, a hundred percent of the people in this room. And so that’s social democracy.
So what is the difference between the government-mandated tracking device and a mobile phone? You know, a mobile phone is just a tracking device that reports your real-time position to one of a few telecommunications companies which are required by law to hand that information over to the government. So logistically they are the same, you know. So what is the difference? You can turn it off, but you don’t. Choice is the big difference, you know. You choose to carry a cell phone, and you wouldn’t choose to carry this government-mandated tracking device.
-- Changing threats to privacy: Moxie Marlinspike on privacy threats at Defcon
- A hozzászóláshoz be kell jelentkezni
Pont most zártam ki a root usert a synology nasomból. Megnézem, ezzel hátha be tudok lépni, így nem kéne resetelnem...
- A hozzászóláshoz be kell jelentkezni
:D
Nagy futásidőre számíts. És ha jól tudom, csak 3.8 és 4.4 között működhet.
tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE
- A hozzászóláshoz be kell jelentkezni