URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 106561
[ Назад ]
Исходное сообщение
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено opennews , 02-Фев-16 11:17 
Компания Google выпустила (http://source.android.com/security/bulletin/2016-02-01.html) обновление прошивки для устройств Nexus, в котором устранено несколько критических уязвимостей. Кроме ранее анонсированной (https://www.opennet.me/opennews/art.shtml?num=43730) уязвимости в медиасервере, в обновлении также устранена серия проблем в драйверах для беспроводных чипов Broadcom и Qualcomm.


Проблемы в драйвере  Broadcom (CVE-2016-0801, CVE-2016-0802) позволяют удалённому злоумышленнику, имеющему доступ к Wi-Fi сети, организовать выполнение кода на подключенном к данной сети уязвимом устройстве.  Уязвимость эксплуатируется через отправку специально оформленного управляющего пакета, при обработке которого происходит выход за границы буфера, что может быть использовано для организации выполнения кода на уровне ядра.


Уязвимость в драйвере Qualcomm  (CVE-2016-0806) даёт возможность локальному атакующему поднять свои привилегии в системе. Кроме того, две локальных уязвимости (CVE-2016-0807, CVE-2016-0805), позволяющие повысить свои привилегии, устранены в отладочном процессе (Debugger Daemon) и модуле контроля за производительностью чипов Qualcomm (Qualcomm Performance Module).

В публичный репозиторий AOSP (https://source.android.com/) (Android Open Source Project) исправления будут внесены в ближайшие несколько дней. Производители устройств на базе платформы Android были уведомлены о наличии проблем 4 января. Информация о проблеме с драйвером Broadcom была отправлена производителю 25 октября. Информация о возможной подверженности проблеме других систем на базе ядра Linux пока отсутствует.

URL: http://source.android.com/security/bulletin/2016-02-01.html
Новость: http://www.opennet.me/opennews/art.shtml?num=43799

Содержание
Сообщения в этом обсуждении
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 11:17 
слава медиатековым блобам, которые никто не ковыряет из-за их ненужности
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено MPEG LA , 02-Фев-16 11:21 
спредтрум наше все)
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено КО , 03-Фев-16 09:45 
Ты про это - http://www.securitylab.ru/news/479095.php ?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 03-Фев-16 10:34 
>Android 4.4 KitKat

всего лишь одна из версий ведроида среди китайского нищехлама

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 11:20 
Почему в контексте ведроидов до сих пор используют слово: "уязвимость", вместо более у местного: "средство получения root-доступа"?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено A.Stahl , 02-Фев-16 11:25 
А к чему это уточнение? Не улавливаю тонкости...
Разве получение рута левыми лицами не является уязвимостью?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 15:45 
Владелец ведрофона равносилен левому лицу?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Aleks Revo , 02-Фев-16 19:59 
Пока средство доступно наравне с левыми лицами, независимо от желания владельца - да
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 11:36 
> Почему в контексте ведроидов до сих пор используют слово: "уязвимость", вместо более у местного: "средство получения root-доступа"?

Потому что, root может получить не только владелец устройства, а любой кто находится с ним в одной wifi-сети, любой кто знает номер телефона (может отправить MMS) и любой владелец сайта, открываемого на устройстве.

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено хамелеон , 02-Фев-16 11:38 
В январе уже прилетало обновление безопасности на нексус 7 2013. Когда это обновление ждать, как обычно в течении 2х недель?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Нексус , 02-Фев-16 11:43 
Уже всё есть: https://developers.google.com/android/nexus/images?hl=en
См. самый последний образ.
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено хамелеон , 02-Фев-16 11:59 
Ага, посмотрел, действительно уже есть. У меня MMB29O, а последняя MMB29Q.
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено rshadow , 02-Фев-16 11:53 
Да, да, баян. Картинку все уже давно видели:
юзера винды - невежество это блаженство
юзера макос - всего за 99центов...
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено pkdr , 02-Фев-16 13:54 
Эй индусы из M$, ваш, и без этого невероятно кривой и низкокачественный, бот вообще заглючился и начал сам себе отвечать. Ну нельзя же так, вырвать бы ваши руки из тазобедренного сустава и пересадить на место бы...
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено РОСКОМУЗОР , 02-Фев-16 14:31 
В ведре нет ничего нормального. А "интерфейс" там вобще противоположность нормальности.Как и в гейском ИОсе.
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 15:58 
О, еще эксперт по интерфейсам. Можно ваш скан диплома об окончании MIT? Или где вы там изучали UX дизайн?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено РОСКОМУЗОР , 02-Фев-16 16:44 
Сначала свой диплом покажи, братиш.
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Вареник , 02-Фев-16 21:56 
По-вашему MIT прославился рюшечками, иконками и прямоугольнымы черно-белыми кусками пластика?

Что же довело Вас до такой оригинальной мысли?

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено pkdr , 02-Фев-16 13:50 
> И какая доля винды и макос на рынке?

Совершенно мизерная, трепыхаются кое как конкурируют с линуксом только в своей узкой нише ОС для десктопов для ноутбуков.


> А доля линя?

На данный момент это самая распространённая в мире ОС, которая сейчас чаще всего встречается на разнообразнейших компьютерах, начиная с компактных одноплатных компьютеров, маршрутизаторов, встраиваемых устройств, типа холодильников, проходя через планшеты, телефоны, автомагнитолы, телевизоры, и заканчивая как рядовыми серверами, так и сверхмощными серверами, кластерами, вычислительными фермами и суперкомпьютерами.
Да и в сфере десктопов имеет вполне уверенные позиции.

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено loool , 02-Фев-16 14:29 
>И какая доля винды и макос на рынке? А доля линя?
>О какой именно ОС из этого семейства ты ведёшь речь?

м?

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено РОСКОМУЗОР , 02-Фев-16 14:38 
Что за такие наборы команд да ещё и "часто не совместимые"? Что за ПО "несовместимое"? В Дебиане(подставить либимый дистр) и Арче(подставить либимый дистр) несовместимые Гимпы и Либреофисы?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Michael Shigorin , 02-Фев-16 14:53 
> Что за такие наборы команд да ещё и "часто не совместимые"?

См. #20, модуль передёргиваний всё никак отладить не могут.

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Нимано , 02-Фев-16 16:37 
> Что за такие наборы команд да ещё и "часто не совместимые"?

Скорее всего, древние версии бздшных core-utilities. Там таки нюансы есть.
Правда, в чем проблема поставить гнутые, я так и не понял (когда-то их на седьмой форточке видел, причем "нативную", не через cygwin, сборку.

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено iPony , 02-Фев-16 12:02 
Ты про комиксы из журнала cosmopolitan? Но там немного по другому.
http://www.stickycomics.com/computer-update/
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 03-Фев-16 03:32 
Эта картинка протухла уже раз дцать. Это же в какой землянке нужно жить, чтобы сейчас такое выкатывать?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Анонимо , 02-Фев-16 11:44 
Напишите в новости список уязвимых прошивок, в оригинале он есть
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 12:06 
Там только список ещё поддерживаемых версий. Не факт, что уязвимостей нет в версиях Android, поддержка которых прекращена.
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено iPony , 02-Фев-16 11:52 
> Уязвимость эксплуатируется через отправку специально оформленного управляющего пакета, при обработке которого происходит выход за границы буфера, что может быть использовано для организации выполнения кода на уровне ядра.

В MF эксплойт добавили?

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 12:27 
Интересно, а вообще к смартам предъявляются со стороны гос-ва какие-то требования по безопасности? На моем прошлогоднем LG, к примеру, до сих пор 4.4 и ниодного обновления, а по логике вещей такого быть не должно
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено freehck , 02-Фев-16 14:22 
Предъявляться-то предъявляются, но на деле всё плохо. Например, в Европе производитель обязан выпускать обновления в течение двух лет с момента поступления товара на рынок. Но во-первых обновления часто задерживаются, порой по полгода даже, а во-вторых немалый процент аппаратов продаётся через полтора-два года и более: в результате эти аппараты рискуют не получить обновление ни разу.

Если мне не изменяет память, сейчас в Нидерландах пытаются внести поправки в этот закон, чтобы производитель поставлял обновления в течении двух лет с момента *продажи* устройства. Но где нынче воз сказать не могу.

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено anonimous , 02-Фев-16 13:37 
> Android
> обновление

Можно подумать, что кто-то кроме пары процентов проданных девайсов его получит.

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 15:17 
раз завезли в аосп - скоро будет в циане и пр кастомах
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено РОСКОМУЗОР , 02-Фев-16 16:47 
А циан на всех девайсах доступен? И кастомы для всех есть?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 17:16 
у человека влажные фантазии - не мешай. Вот смотрю на кирпич P970 и вроде новый почти.. а кастомы на Android 2.3 ну и чуть чуть на 4.0.. и все.
А производителю не интересен он.
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 17:17 
> А циан на всех девайсах доступен? И кастомы для всех есть?

зачем? тем лучше и легче собирать ботнет из телефонов..

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено turbo2001 , 02-Фев-16 20:12 
В циане уже прилетело.
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено AlexYeCu_not_logged , 02-Фев-16 21:39 
Какой номер сборки?
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено turbo2001 , 02-Фев-16 21:47 
Найтли 20160202

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Crazy Alex , 02-Фев-16 15:24 
Ну вот просто интересно - когда, наконец, дойдёт, что софт такой сложности не может обновляться как монолит
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Отражение луны , 02-Фев-16 18:50 
Может, и должен. Такой способ обновления гарантирует отсутствие разницы в образах в пределах одного типа девайса.
Лучше пусть до вендоров дойдет, что им не стоит модифицировать андроид буквально никак, и пилить на свои устройства сток+драйвера, тогда и все обновление своих аппаратов будет сводиться буквально к синхронизации с официальным репозиторием и простой пересборке. Это примерно час работы.
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Crazy Alex , 02-Фев-16 21:02 
На примере линукса я не вижу особых проблем в различиях между разными системами - системы зависимостей вполне справляются. А вот в идентичности - вижу: огранчиенный простор для кастомизации пользователем и удобство атаки.

Опять же, не модифицировать никак - тоже плохо, мало ли кто какую интеерсную фишку придумал. Вон, в  своё время китайцы здорово модифицировали андроид, чтобы он номально работал с двумя симками - но это никак не значит, что смотрелку картинок нельзя отдельно обновить.

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 02-Фев-16 15:42 
Проблемы в драйвере Broadcom (CVE-2016-0801, CVE-2016-0802)
роутеров тоже касается?

"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено pavlinux , 03-Фев-16 04:03 
Гугла приняла путь Касперского и Вантуза в одном лице - сама себя троянит, - сама себя победно исправляет! "Покупайте Дырофоны Нехус!"
"В Android устранена уязвимость, эксплуатируемая через беспро..."
Отправлено Аноним , 03-Фев-16 07:28 
Да здравствуют возможности воровать деньги у доверчивых пользователей андроида :)
Были ботнеты из роутеров - теперь из телефонов будут.