【IT】AndroidでPNGファイルを開くと任意のコードが実行される ~2019年2月パッチで修正

1: ふてねこ ★ 2019/02/09(土) 16:57:53.12 ID:P70TkYmB9

AndroidでPNGファイルを開くと任意のコードが実行される ~2019年2月パッチで修正

米Googleは2月4日(現地時間)、Androidの月例セキュリティ情報を発表した。今回公表されたセキュリティ情報の
内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。

今月のセキュリティパッチは通例に従い“2019-02-01”と“2019-02-05”の2本立て。過去に実施された
脆弱性の修正も含まれているので、これらが適用されていれば端末は安全といえる。

今回新たに修正された脆弱性のなかでもっとも重大なものは、細工されたPNGファイルを開くだけで
任意のコードが実行可能になるフレームワークの欠陥だが、今のところ悪用の報告はないとのこと。

AndroidでPNGファイルを開くと任意のコードが実行される ~2019年2月パッチで修正/今のところ悪用の報告はなし
 米Googleは2月4日(現地時間)、Androidの月例セキュリティ情報を発表した。今回公表されたセキュリティ情報の内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。

窓の杜 樽井秀人 2019年2月7日 08:00

2: 名無しさん@1周年 2019/02/09(土) 17:01:52.62 ID:olmwEZ/D0
iosと違ってandroidは着尺性が多いから怖い

4: 名無しさん@1周年 2019/02/09(土) 17:10:27.89 ID:Poao1xIA0

>>2
よぅ情弱w

https://internet.watch.impress.co.jp/docs/column/security/594655.html
iOS、Androidともに、外部とのデータのやり取りを暗号化していないアプリが大多数を占めているのが目立ちますが、
iOSとAndroidで顕著な違いを見せているのは、連絡先などの情報(Contacts/Addresses)にアクセスするアプリが、iOSで半数を超えているのに対して、
Androidでは20%にとどまっている点でしょう。
また、居場所を追跡する(Location Tracking)アプリについてもiOSの方がAndroidよりも多めです。
さらに、カレンダーにアクセスするアプリがAndroidでは0個であるというのも特徴的です。

14: 名無しさん@1周年 2019/02/09(土) 17:34:55.25 ID:2Lcun+jl0
>>4
IT音痴乙。

20: 名無しさん@1周年 2019/02/09(土) 17:41:41.28 ID:KLyO+K/r0
>>4
ずいぶん古いの持ってきたな

23: 名無しさん@1周年 2019/02/09(土) 18:13:34.14 ID:GvyfiwbE0
>>4
2013年頃の無償アプリなんてホームページをそのまま表示するようなものばっかだったからそんなもんだろ。
乗り換え案内とか天気とかで暗号化してもリソースの無駄だしな。

21: 名無しさん@1周年 2019/02/09(土) 17:42:18.03 ID:lfjjhbu20
>>2
泥はコード公開されてるから貧弱性も増すのは当然

45: 名無しさん@1周年 2019/02/09(土) 20:09:57.20 ID:YaTf5PRj0
>>2
気持ち悪い

3: 名無しさん@1周年 2019/02/09(土) 17:07:18.78 ID:nSg0OUCU0
Nexusのパッチあくしろよ

5: 名無しさん@1周年 2019/02/09(土) 17:13:29.30 ID:fylfe/nk0
キャリアが放置した端末ってどーなるの?
セキュリティアップデートなんて放置されっぱなしだけど。
問題じゃないかよく考えたら。

6: 名無しさん@1周年 2019/02/09(土) 17:16:09.91 ID:AqDZ50vN0
>>5
そやで
料金プランに口出しするならセキュリティについても提言してほしいところやな

11: 名無しさん@1周年 2019/02/09(土) 17:27:19.92 ID:1t3+85pD0
>>5
買い換えてくださいね~♪

7: 名無しさん@1周年 2019/02/09(土) 17:17:01.60 ID:zMopgga70
4.0なんだが(´・ω・`)

8: 名無しさん@1周年 2019/02/09(土) 17:17:40.35 ID:j6uBy2DQ0
マジかよ
Em7とか鳴っちゃうの?

15: 名無しさん@1周年 2019/02/09(土) 17:34:57.75 ID:UpMtDdTh0
>>8
アホか
電線のことだよ

9: 名無しさん@1周年 2019/02/09(土) 17:19:14.09 ID:Poao1xIA0
任意のコードが実行されるつったってそもそもアプリが持ってる権限を乗り越えられるわけないからな。
アホンユーザーにはりかいできなさそうだが(苦笑

24: 名無しさん@1周年 2019/02/09(土) 18:16:17.29 ID:GvyfiwbE0
>>9
こういうのは権限昇格系の脆弱性と合わせ技で使われるから危険だよ。

31: 名無しさん@1周年 2019/02/09(土) 18:59:30.94 ID:K1pgj6Sk0
>>24
> 権限昇格系
妄想ですねわかります。

35: 名無しさん@1周年 2019/02/09(土) 19:24:20.37 ID:GvyfiwbE0
>>31
セキュリティの基礎用語だよ。
ちゃんと勉強し。

37: 名無しさん@1周年 2019/02/09(土) 19:25:53.62 ID:K1pgj6Sk0
>>35
何年何月何日何時何分何秒にそのAndroidの権限昇格系とやらの脆弱性が見つかったんですかねえ
(・∀・)ニャニャ

39: 名無しさん@1周年 2019/02/09(土) 19:34:17.74 ID:GvyfiwbE0

>>37
半年に一度ぐらいの頻度で見つかってるよ。

最近の奴だと去年9月のパッチ当ててなければアウトだね。
https://source.android.com/security/bulletin/2018-09-01

ExproitDBには検証用のコードが載ってるから、
今回のpng踏んだらリモートコード実行みたいなのと組み合わせるとアプリ無しで乗っ取れる。

40: 名無しさん@1周年 2019/02/09(土) 19:44:46.27 ID:K1pgj6Sk0

>>39
ないない

今までだあれも引っかかった人なんていないから

43: 名無しさん@1周年 2019/02/09(土) 19:56:44.87 ID:GvyfiwbE0
>>40
いや世界中でSMSの送金サービスを使った被害が広がってるよ。
例えばこの記事だと2018年4月の時点でAndroidのマルウエア感染台数は1750万台と予想してるね。
2018年、スマホへのサイバー攻撃の脅威が過去最大のおそれ
McAfeeのモバイル脅威レポートによれば、モバイル マルウェアが増加しているという。最新のモバイル マルウェアとその対策について紹介しよう。

52: 名無しさん@1周年 2019/02/10(日) 11:14:27.39 ID:zGXk9beP0
>>9
https://gigazine.net/news/20190207-android-hacked-looking-png-image/
「外部の攻撃者が特別な細工を行ったPNG画像を使うことで、遠隔から特権プロセスで任意のコードを実行可能となります」とGoogleは述べています。

10: 名無しさん@1周年 2019/02/09(土) 17:20:02.02 ID:Y8xBz24Y0
端末に入ってる情報は、最悪全部覗かれてるぐらいに考えてた方が精神衛生上楽

12: 名無しさん@1周年 2019/02/09(土) 17:32:30.41 ID:VkIl97z50
仕込んだのシナだろ

13: 名無しさん@1周年 2019/02/09(土) 17:33:55.14 ID:QuaMBVpO0
おまえらの情報なんて10円でもいらんでしょ
むしろ価値があると思った理由を知りたい

16: 名無しさん@1周年 2019/02/09(土) 17:37:09.63 ID:UFxb3n+m0
実証コードが出回ってからが本番

17: 名無しさん@1周年 2019/02/09(土) 17:37:52.30 ID:KLyO+K/r0
なにこれこわい

18: 名無しさん@1周年 2019/02/09(土) 17:38:26.65 ID:OGnWrXS90
マッチポンプ始まったな

19: 名無しさん@1周年 2019/02/09(土) 17:38:59.20 ID:FIZ1O+GY0
iOSは情弱性が高すぎ

27: 名無しさん@1周年 2019/02/09(土) 18:23:53.95 ID:iP+NqT0Q0
日本人にはアプデが降ってきません

28: 名無しさん@1周年 2019/02/09(土) 18:25:12.76 ID:5jGYv3gB0
セキュリティパッチレベル2018年12月01日
使えないじゃん糞が

29: 名無しさん@1周年 2019/02/09(土) 18:41:44.05 ID:1h1gdis40
こんな大穴開けたの誰だよw
わざとか?

30: 名無しさん@1周年 2019/02/09(土) 18:57:21.17 ID:MKvSaXtB0
日本で適用できるのって新しめのgalaxyとかpixel3とかそんくらいだろ

32: 名無しさん@1周年 2019/02/09(土) 19:02:19.46 ID:t7hXocWg0
グロ画像開いたらさらに乗っ取られるのか w

33: 名無しさん@1周年 2019/02/09(土) 19:07:26.28 ID:2vTQWw3W0
>>1
>いずれ各社からアップデートが提供されるはずだ。
はい、日本のメーカーなので脚切りされてアップデートされません!

34: 名無しさん@1周年 2019/02/09(土) 19:12:37.35 ID:jYQydP430
>>33
キャリアだとサポートされてる端末でも去年の12月状態だぞ
最低でも2ヶ月は大穴開けたまま使うしかない
本当に糞
何年前からも同じ

41: 名無しさん@1周年 2019/02/09(土) 19:47:51.50 ID:rd5i/eT60
>>34
Pixel 3はどうなの?

47: 名無しさん@1周年 2019/02/09(土) 21:19:48.98 ID:iP+NqT0Q0
>>41
キャリアなら待たされる

36: 名無しさん@1周年 2019/02/09(土) 19:24:44.23 ID:Rc218tJH0
日本人の国防意識の無さがあらゆる分野のセキュリティを低くさせる

38: 名無しさん@1周年 2019/02/09(土) 19:34:02.37 ID:LXHQTiQU0
rootとられなくてもネットに犯行予告するコードくらいは
実行出来るのでは

42: 名無しさん@1周年 2019/02/09(土) 19:51:00.36 ID:jwxI+Eie0
むむむ
2chMate 0.8.10.10/Sony/F8132/7.1.1/LR

44: 名無しさん@1周年 2019/02/09(土) 20:01:46.64 ID:VnnYS7kK0
地味にヒドいな!
アップデート放置端末の方がはるかに多いと思う

46: 名無しさん@1周年 2019/02/09(土) 20:27:42.75 ID:2vTQWw3W0
つか、アップデート来ても初期化しろとか言われそうだ

引用元

管理人からひと言

なにこれ怖い

スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

フォローする

スポンサーリンク
スポンサーリンク