【IT】AndroidでPNGファイルを開くと任意のコードが実行される ~2019年2月パッチで修正

1: ふてねこ ★ 2019/02/09(土) 16:57:53.12 ID:P70TkYmB9

AndroidでPNGファイルを開くと任意のコードが実行される ~2019年2月パッチで修正

米Googleは2月4日(現地時間)、Androidの月例セキュリティ情報を発表した。今回公表されたセキュリティ情報の
内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。

今月のセキュリティパッチは通例に従い“2019-02-01”と“2019-02-05”の2本立て。過去に実施された
脆弱性の修正も含まれているので、これらが適用されていれば端末は安全といえる。

今回新たに修正された脆弱性のなかでもっとも重大なものは、細工されたPNGファイルを開くだけで
任意のコードが実行可能になるフレームワークの欠陥だが、今のところ悪用の報告はないとのこと。

https://forest.watch.impress.co.jp/docs/news/1168595.html

窓の杜 樽井秀人 2019年2月7日 08:00

2: 名無しさん@1周年 2019/02/09(土) 17:01:52.62 ID:olmwEZ/D0
iosと違ってandroidは着尺性が多いから怖い

 

4: 名無しさん@1周年 2019/02/09(土) 17:10:27.89 ID:Poao1xIA0

>>2
よぅ情弱w

https://internet.watch.impress.co.jp/docs/column/security/594655.html
iOS、Androidともに、外部とのデータのやり取りを暗号化していないアプリが大多数を占めているのが目立ちますが、
iOSとAndroidで顕著な違いを見せているのは、連絡先などの情報(Contacts/Addresses)にアクセスするアプリが、iOSで半数を超えているのに対して、
Androidでは20%にとどまっている点でしょう。
また、居場所を追跡する(Location Tracking)アプリについてもiOSの方がAndroidよりも多めです。
さらに、カレンダーにアクセスするアプリがAndroidでは0個であるというのも特徴的です。

 

14: 名無しさん@1周年 2019/02/09(土) 17:34:55.25 ID:2Lcun+jl0
>>4
IT音痴乙。

 

20: 名無しさん@1周年 2019/02/09(土) 17:41:41.28 ID:KLyO+K/r0
>>4
ずいぶん古いの持ってきたな

 

23: 名無しさん@1周年 2019/02/09(土) 18:13:34.14 ID:GvyfiwbE0
>>4
2013年頃の無償アプリなんてホームページをそのまま表示するようなものばっかだったからそんなもんだろ。
乗り換え案内とか天気とかで暗号化してもリソースの無駄だしな。

 

21: 名無しさん@1周年 2019/02/09(土) 17:42:18.03 ID:lfjjhbu20
>>2
泥はコード公開されてるから貧弱性も増すのは当然

 

45: 名無しさん@1周年 2019/02/09(土) 20:09:57.20 ID:YaTf5PRj0
>>2
気持ち悪い

 

3: 名無しさん@1周年 2019/02/09(土) 17:07:18.78 ID:nSg0OUCU0
Nexusのパッチあくしろよ

 

5: 名無しさん@1周年 2019/02/09(土) 17:13:29.30 ID:fylfe/nk0
キャリアが放置した端末ってどーなるの?
セキュリティアップデートなんて放置されっぱなしだけど。
問題じゃないかよく考えたら。

 

6: 名無しさん@1周年 2019/02/09(土) 17:16:09.91 ID:AqDZ50vN0
>>5
そやで
料金プランに口出しするならセキュリティについても提言してほしいところやな

 

11: 名無しさん@1周年 2019/02/09(土) 17:27:19.92 ID:1t3+85pD0
>>5
買い換えてくださいね~♪

 

7: 名無しさん@1周年 2019/02/09(土) 17:17:01.60 ID:zMopgga70
4.0なんだが(´・ω・`)

 

8: 名無しさん@1周年 2019/02/09(土) 17:17:40.35 ID:j6uBy2DQ0
マジかよ
Em7とか鳴っちゃうの?

 

15: 名無しさん@1周年 2019/02/09(土) 17:34:57.75 ID:UpMtDdTh0
>>8
アホか
電線のことだよ

 

9: 名無しさん@1周年 2019/02/09(土) 17:19:14.09 ID:Poao1xIA0
任意のコードが実行されるつったってそもそもアプリが持ってる権限を乗り越えられるわけないからな。
アホンユーザーにはりかいできなさそうだが(苦笑

 

24: 名無しさん@1周年 2019/02/09(土) 18:16:17.29 ID:GvyfiwbE0
>>9
こういうのは権限昇格系の脆弱性と合わせ技で使われるから危険だよ。

 

31: 名無しさん@1周年 2019/02/09(土) 18:59:30.94 ID:K1pgj6Sk0
>>24
> 権限昇格系
妄想ですねわかります。

 

35: 名無しさん@1周年 2019/02/09(土) 19:24:20.37 ID:GvyfiwbE0
>>31
セキュリティの基礎用語だよ。
ちゃんと勉強し。

 

37: 名無しさん@1周年 2019/02/09(土) 19:25:53.62 ID:K1pgj6Sk0
>>35
何年何月何日何時何分何秒にそのAndroidの権限昇格系とやらの脆弱性が見つかったんですかねえ
(・∀・)ニャニャ

 

39: 名無しさん@1周年 2019/02/09(土) 19:34:17.74 ID:GvyfiwbE0

>>37
半年に一度ぐらいの頻度で見つかってるよ。

最近の奴だと去年9月のパッチ当ててなければアウトだね。
https://source.android.com/security/bulletin/2018-09-01

ExproitDBには検証用のコードが載ってるから、
今回のpng踏んだらリモートコード実行みたいなのと組み合わせるとアプリ無しで乗っ取れる。

 

40: 名無しさん@1周年 2019/02/09(土) 19:44:46.27 ID:K1pgj6Sk0

>>39
ないない

今までだあれも引っかかった人なんていないから

 

43: 名無しさん@1周年 2019/02/09(土) 19:56:44.87 ID:GvyfiwbE0
>>40
いや世界中でSMSの送金サービスを使った被害が広がってるよ。
例えばこの記事だと2018年4月の時点でAndroidのマルウエア感染台数は1750万台と予想してるね。
http://ascii.jp/elem/000/001/661/1661279/

 

52: 名無しさん@1周年 2019/02/10(日) 11:14:27.39 ID:zGXk9beP0
>>9
https://gigazine.net/news/20190207-android-hacked-looking-png-image/
「外部の攻撃者が特別な細工を行ったPNG画像を使うことで、遠隔から特権プロセスで任意のコードを実行可能となります」とGoogleは述べています。

 

10: 名無しさん@1周年 2019/02/09(土) 17:20:02.02 ID:Y8xBz24Y0
端末に入ってる情報は、最悪全部覗かれてるぐらいに考えてた方が精神衛生上楽

 

12: 名無しさん@1周年 2019/02/09(土) 17:32:30.41 ID:VkIl97z50
仕込んだのシナだろ

 

13: 名無しさん@1周年 2019/02/09(土) 17:33:55.14 ID:QuaMBVpO0
おまえらの情報なんて10円でもいらんでしょ
むしろ価値があると思った理由を知りたい

 

16: 名無しさん@1周年 2019/02/09(土) 17:37:09.63 ID:UFxb3n+m0
実証コードが出回ってからが本番

 

17: 名無しさん@1周年 2019/02/09(土) 17:37:52.30 ID:KLyO+K/r0
なにこれこわい

 

18: 名無しさん@1周年 2019/02/09(土) 17:38:26.65 ID:OGnWrXS90
マッチポンプ始まったな

 

19: 名無しさん@1周年 2019/02/09(土) 17:38:59.20 ID:FIZ1O+GY0
iOSは情弱性が高すぎ

 

27: 名無しさん@1周年 2019/02/09(土) 18:23:53.95 ID:iP+NqT0Q0
日本人にはアプデが降ってきません

 

28: 名無しさん@1周年 2019/02/09(土) 18:25:12.76 ID:5jGYv3gB0
セキュリティパッチレベル2018年12月01日
使えないじゃん糞が

 

29: 名無しさん@1周年 2019/02/09(土) 18:41:44.05 ID:1h1gdis40
こんな大穴開けたの誰だよw
わざとか?

 

30: 名無しさん@1周年 2019/02/09(土) 18:57:21.17 ID:MKvSaXtB0
日本で適用できるのって新しめのgalaxyとかpixel3とかそんくらいだろ

 

32: 名無しさん@1周年 2019/02/09(土) 19:02:19.46 ID:t7hXocWg0
グロ画像開いたらさらに乗っ取られるのか w

 

33: 名無しさん@1周年 2019/02/09(土) 19:07:26.28 ID:2vTQWw3W0
>>1
>いずれ各社からアップデートが提供されるはずだ。
はい、日本のメーカーなので脚切りされてアップデートされません!

 

34: 名無しさん@1周年 2019/02/09(土) 19:12:37.35 ID:jYQydP430
>>33
キャリアだとサポートされてる端末でも去年の12月状態だぞ
最低でも2ヶ月は大穴開けたまま使うしかない
本当に糞
何年前からも同じ

 

41: 名無しさん@1周年 2019/02/09(土) 19:47:51.50 ID:rd5i/eT60
>>34
Pixel 3はどうなの?

 

47: 名無しさん@1周年 2019/02/09(土) 21:19:48.98 ID:iP+NqT0Q0
>>41
キャリアなら待たされる

 

36: 名無しさん@1周年 2019/02/09(土) 19:24:44.23 ID:Rc218tJH0
日本人の国防意識の無さがあらゆる分野のセキュリティを低くさせる

 

38: 名無しさん@1周年 2019/02/09(土) 19:34:02.37 ID:LXHQTiQU0
rootとられなくてもネットに犯行予告するコードくらいは
実行出来るのでは

 

42: 名無しさん@1周年 2019/02/09(土) 19:51:00.36 ID:jwxI+Eie0
むむむ
2chMate 0.8.10.10/Sony/F8132/7.1.1/LR

 

44: 名無しさん@1周年 2019/02/09(土) 20:01:46.64 ID:VnnYS7kK0
地味にヒドいな!
アップデート放置端末の方がはるかに多いと思う

 

46: 名無しさん@1周年 2019/02/09(土) 20:27:42.75 ID:2vTQWw3W0
つか、アップデート来ても初期化しろとか言われそうだ

引用元

管理人からひと言

なにこれ怖い

 

関連記事

  1. Lenovo幹部 「中国向けの製品にはバックドアを仕込んでるけど、他の国ではやってない」

  2. 【ランサムウエア】 サイバー恐喝に屈しない日本 試される「人質」奪還能力

  3. カテゴリ_security

    【PC】LANポートを物理的に塞ぐプラグロック製品、サンワサプライ「SLE-12SN」

  4. 【企業】LINE、政府に虚偽説明 データ「日本に閉じている」実際は韓国

  5. 【マイナンバー】マイナ保険証一本化でむしろ「なりすまし」横行も…オンライン認証これだけの落とし穴

  6. 【SNS】セブンイレブン、Twitter連携のキャンペーン中止。要求権限も縮小【やじうまPC Wat…

  7. 【IT】「マリオット」顧客情報流出 2550万人分のパスポート番号も

  8. 俺が大学のネットワークをハッキングして授業の出席を捏造してたのバレて停学処分食らった話聞きたい?

  9. 【IT】日本のハッカー元祖が語る、花形プログラマー育成に必要なこと

コメント

  1. この記事へのコメントはありません。

  1. この記事へのトラックバックはありません。

最近の人気記事

おすすめ記事

新着記事

  1. 【プログラミング】Webエンジニアとかいうやつが最高にウザい
  2. Webエンジニアで年収270万スタートから900万まで登り詰めたんだけどさ
  3. 来年からWEBエンジニアになるんだけど副業で小中学生向けのプログラミング家庭教師…
  4. CPUクーラーって絶対に水冷がええの?
  5. AIに食われるの確定してるのに今プログラマーになろうと勉強してる奴なんなの?

ボンブの戯言

  1. 【ボンブの戯言】フリーランスの実態調査をITエンジニアフリーランスの視点から見て…
  2. 【ボンブの戯言】ITエンジニアがフリーランスになるときに考える・準備すること
  3. 【ボンブの戯言】中古サーバーの買い方まとめました
  4. 【ボンブの戯言】サーバーって何なの(オンプレに限る)
  5. 【ボンブの戯言】ITエンジニアが徹夜してでも間に合わせる理由
PAGE TOP