【IT】AndroidでPNGファイルを開くと任意のコードが実行される 〜2019年2月パッチで修正

1 :ふてねこ ★:2019/02/09(土) 16:57:53.12 ID:P70TkYmB9.net
AndroidでPNGファイルを開くと任意のコードが実行される 〜2019年2月パッチで修正

米Googleは2月4日(現地時間)、Androidの月例セキュリティ情報を発表した。今回公表されたセキュリティ情報の
内容は、少なくとも1カ月前にパートナーへ通知済み。いずれ各社からアップデートが提供されるはずだ。

今月のセキュリティパッチは通例に従い“2019-02-01”と“2019-02-05”の2本立て。過去に実施された
脆弱性の修正も含まれているので、これらが適用されていれば端末は安全といえる。

今回新たに修正された脆弱性のなかでもっとも重大なものは、細工されたPNGファイルを開くだけで
任意のコードが実行可能になるフレームワークの欠陥だが、今のところ悪用の報告はないとのこと。

https://forest.watch.impress.co.jp/docs/news/1168595.html

窓の杜 樽井秀人 2019年2月7日 08:00

41 :名無しさん@1周年:2019/02/09(土) 19:47:51.50 ID:rd5i/eT60.net

>>34
Pixel 3はどうなの?

12 :名無しさん@1周年:2019/02/09(土) 17:32:30.41 ID:VkIl97z50.net

仕込んだのシナだろ

37 :名無しさん@1周年:2019/02/09(土) 19:25:53.62 ID:K1pgj6Sk0.net

>>35
何年何月何日何時何分何秒にそのAndroidの権限昇格系とやらの脆弱性が見つかったんですかねえ
(・∀・)ニャニャ

37 :名無しさん@1周年:2019/02/09(土) 19:25:53.62 ID:K1pgj6Sk0.net

>>35
何年何月何日何時何分何秒にそのAndroidの権限昇格系とやらの脆弱性が見つかったんですかねえ
(・∀・)ニャニャ

9 :名無しさん@1周年:2019/02/09(土) 17:19:14.09 ID:Poao1xIA0.net

任意のコードが実行されるつったってそもそもアプリが持ってる権限を乗り越えられるわけないからな。
アホンユーザーにはりかいできなさそうだが(苦笑

25 :名無しさん@1周年:2019/02/09(土) 18:16:48.96 ID:UXEoLRW00.net

>>1
古い泥のオレ、満面の笑み!

4 :名無しさん@1周年:2019/02/09(土) 17:10:27.89 ID:Poao1xIA0.net

>>2
よぅ情弱w

https://internet.watch.impress.co.jp/docs/column/security/594655.html
iOS、Androidともに、外部とのデータのやり取りを暗号化していないアプリが大多数を占めているのが目立ちますが、
iOSとAndroidで顕著な違いを見せているのは、連絡先などの情報(Contacts/Addresses)にアクセスするアプリが、iOSで半数を超えているのに対して、
Androidでは20%にとどまっている点でしょう。
また、居場所を追跡する(Location Tracking)アプリについてもiOSの方がAndroidよりも多めです。
さらに、カレンダーにアクセスするアプリがAndroidでは0個であるというのも特徴的です。

56 :名無しさん@13周年:2019/02/10(日) 21:33:10.24 ID:rSXvxAxy9

>>2 着尺は身幅に応じて決めましょう 

34 :名無しさん@1周年:2019/02/09(土) 19:12:37.35 ID:jYQydP430.net

>>33
キャリアだとサポートされてる端末でも去年の12月状態だぞ
最低でも2ヶ月は大穴開けたまま使うしかない
本当に糞
何年前からも同じ

38 :名無しさん@1周年:2019/02/09(土) 19:34:02.37 ID:LXHQTiQU0.net

rootとられなくてもネットに犯行予告するコードくらいは
実行出来るのでは

44 :名無しさん@1周年:2019/02/09(土) 20:01:46.64 ID:VnnYS7kK0.net

地味にヒドいな!
アップデート放置端末の方がはるかに多いと思う

26 :名無しさん@1周年:2019/02/09(土) 18:21:45.73 ID:GvyfiwbE0.net

リモートコード実行と権限昇格を組み合わせるとこんな事される。

音声録音
端末のカメラを使用して写真を撮影
端末のモデル、電話番号、IMEI のようなシステム情報の窃取
端末が接続している Wi-Fi ネットワーク名の窃取
受信および発信履歴の窃取
モバイルネットワークの基地局情報に基づく位置情報の窃取
GPS による位置情報の窃取
連絡先の窃取
端末内のファイルの窃取
実行中アプリ一覧情報の窃取
ショートメッセージサービス(SMS)の窃取
送受信する SMS の監視
モバイルネットワーク、ストレージ、ルート化の有無などのシステム情報の窃取
インストールされたアプリ一覧情報の窃取
初期インストールされているブラウザアプリから Web 閲覧履歴を窃取
カレンダーアプリのイベント情報を窃取
通話の録音
対象端末にファイルをアップロード
前面カメラによる高解像度写真の撮影
偽造した SMS の送信および削除
画面キャプチャ
シェルコマンドの実行
Wi-Fi パスワードの窃取
キーロガーのために「ユーザー補助サービス」を密かに有効化

39 :名無しさん@1周年:2019/02/09(土) 19:34:17.74 ID:GvyfiwbE0.net

>>37
半年に一度ぐらいの頻度で見つかってるよ。

最近の奴だと去年9月のパッチ当ててなければアウトだね。
https://source.android.com/security/bulletin/2018-09-01

ExproitDBには検証用のコードが載ってるから、
今回のpng踏んだらリモートコード実行みたいなのと組み合わせるとアプリ無しで乗っ取れる。

48 :名無しさん@1周年:2019/02/09(土) 21:20:16.53 ID:iP+NqT0Q0.net

>>46
そんなジャップレベルのアプデは無い

36 :名無しさん@1周年:2019/02/09(土) 19:24:44.23 ID:Rc218tJH0.net

日本人の国防意識の無さがあらゆる分野のセキュリティを低くさせる

20 :名無しさん@1周年:2019/02/09(土) 17:41:41.28 ID:KLyO+K/r0.net

>>4
ずいぶん古いの持ってきたな

21 :名無しさん@1周年:2019/02/09(土) 17:42:18.03 ID:lfjjhbu20.net

>>2
泥はコード公開されてるから貧弱性も増すのは当然

18 :名無しさん@1周年:2019/02/09(土) 17:38:26.65 ID:OGnWrXS90.net

マッチポンプ始まったな

45 :名無しさん@1周年:2019/02/09(土) 20:09:57.20 ID:YaTf5PRj0.net

>>2
気持ち悪い

54 :名無しさん@1周年:2019/02/10(日) 11:14:27.39 ID:zGXk9beP0.net

>>9
https://gigazine.net/news/20190207-android-hacked-looking-png-image/
「外部の攻撃者が特別な細工を行ったPNG画像を使うことで、遠隔から特権プロセスで任意のコードを実行可能となります」とGoogleは述べています。

33 :名無しさん@1周年:2019/02/09(土) 19:07:26.28 ID:2vTQWw3W0.net

>>1
>いずれ各社からアップデートが提供されるはずだ。
はい、日本のメーカーなので脚切りされてアップデートされません!

2 :名無しさん@1周年:2019/02/09(土) 17:01:52.62 ID:olmwEZ/D0.net

iosと違ってandroidは着尺性が多いから怖い

10 :名無しさん@1周年:2019/02/09(土) 17:20:02.02 ID:Y8xBz24Y0.net

端末に入ってる情報は、最悪全部覗かれてるぐらいに考えてた方が精神衛生上楽

23 :名無しさん@1周年:2019/02/09(土) 18:13:34.14 ID:GvyfiwbE0.net

>>4
2013年頃の無償アプリなんてホームページをそのまま表示するようなものばっかだったからそんなもんだろ。
乗り換え案内とか天気とかで暗号化してもリソースの無駄だしな。

22 :名無しさん@1周年:2019/02/09(土) 17:49:33.96 ID:7PMEwg990.net

漢字は日本の発明物だよ
「清では識字率はわずかに1%だった。これにはため息をつかざるを得ない」 (今日頭条2017年8月30日)
ネットでさえ伏せられているけどこれが都市部での話
正確な数値を伏せているのは理由があるということ
中国の識字率は公表されている数値でも驚くほど低いでしょう
しかも70年代からしか統計をとっていない
でもこれを0%といわないことだけでも十分に大嘘だというのがまたw
ところで誰か生粋の日本人の中で親類にでも中国系文化の専門家や学者さんはいますかね?
いたらこのレスを見せてよく検証してもらうのも面白いかと思います
でも恐らくそうした学者や専門家に生粋の日本人の方はおりません
それが戦争に負けた今の日本の現状なのです
そして教育が共産党と深くかかわる理由でもあるのです
中国に今は高価な古い漢文、漢書は存在してはいますがそれが本当はどこから出てきたのかは大概伏せられているのが現状です
すべて日本です
日本人は欧米の威を借りた中国人、及び古くから日本にいた華僑人が好きにこねくり回した戦後の偽の自虐史観の一環にいつまでも付き合う必要はありません!
これは犯罪というよりほかない歴史冒涜ですよ
犯罪としてもかなり大胆不敵といわざるをえない事実です
そもそも漢字は本当の中国語ではない
遣唐使や遣隋使ということばには外交使者であるという以上の含意は無いよ
そこに勝手に学びに来たとかなんとかがすごくうざいよね、大ウソだしw
彼らは今はうわべだけにわか仕立てにようやく見れるようにはしてはいるけど中身は邪悪な原始人、犯罪者のそのまま、だから黙っていられる
日本人とは中身は大きく異なる
そもそも遊牧民の言葉ツングース言語特有の同じ音に異なる意味という好い加減な中国語と漢字が共存しえないでしょ
そして漢文は完全に別言語であります!
漢文≠中国語
漢文は中国語にあらず!日本語なのです!
これは無視できない大きな事実だよ?
中国の歴史と言われている小説なんかも全部漢文で書かれて日本から与えられている
中国語でかかれた古代の書物はただの一冊も中国大陸からは発見されてない
現状嘘前科百犯の中国共産党とそれの手先の江戸しぐさ日教組の大ウソをまだ信じて書き込んでるのは全部仕込みと白痴でしょw
街の外観だって日本、朝鮮、中国と劣化していって西洋化して悪化していっているっていうのがハッキリ分るのが古い写真の力w
レンホーのような在日華人の祖先が昔から日本における中国の歴史をねつ造している
挙句に文化振興だとかの国費を横流してる
論語などもこういう奴らの祖先のでっち上げなのは明らか、全くインチキナンセンス!
繰り返すけど漢文と中国語は文体から漢字や単語の意味からすべて違う
元号も中国に存在していた物的証拠は一つも中国にはない
正倉院にだけ存在している!
彼らは革命という火の中から大ウソという魔物をかたどって誕生させようとしている!!!
文化大革命ですべてが失われたわけではない
そんなわけはないでしょw
もーいいかげん朝日新聞と同様の陰謀だと気付こう!
全て中国人が生み出したのではない
潜んでいる華人にだまされた我々日本人が偽の神を創り出そうとしていたのだ!
いうまでもなく中国、韓国は特に不当に高く評価されている
詭弁と嫉妬、嘘と犯罪は人類の滅びの元
共産党はそれらすべての源
 
↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓↓
日本と中国の漢字、なんでそれぞれ違う簡略化をしちゃったの? しかも日本のほうが合理的だった・・・=中国メディア 2018/11/01                                
https://rosie.5ch.net/test/read.cgi/editorialplus/1541044230/                 

47 :名無しさん@1周年:2019/02/09(土) 21:19:48.98 ID:iP+NqT0Q0.net

>>41
キャリアなら待たされる

13 :名無しさん@1周年:2019/02/09(土) 17:33:55.14 ID:QuaMBVpO0.net

おまえらの情報なんて10円でもいらんでしょ
むしろ価値があると思った理由を知りたい

31 :名無しさん@1周年:2019/02/09(土) 18:59:30.94 ID:K1pgj6Sk0.net

>>24
> 権限昇格系
妄想ですねわかります。

17 :名無しさん@1周年:2019/02/09(土) 17:37:52.30 ID:KLyO+K/r0.net

なにこれこわい

35 :名無しさん@1周年:2019/02/09(土) 19:24:20.37 ID:GvyfiwbE0.net

>>31
セキュリティの基礎用語だよ。
ちゃんと勉強し。

3 :名無しさん@1周年:2019/02/09(土) 17:07:18.78 ID:nSg0OUCU0.net

Nexusのパッチあくしろよ

46 :名無しさん@1周年:2019/02/09(土) 20:27:42.75 ID:2vTQWw3W0.net

つか、アップデート来ても初期化しろとか言われそうだ

30 :名無しさん@1周年:2019/02/09(土) 18:57:21.17 ID:MKvSaXtB0.net

日本で適用できるのって新しめのgalaxyとかpixel3とかそんくらいだろ

53 :名無しさん@13周年:2019/02/10(日) 08:33:19.53 ID:nqnrhY+VX

単純な画像ファイルと思ってたのに、
巧妙に正規処理をすり抜ける奴がいるんだな。

19 :名無しさん@1周年:2019/02/09(土) 17:38:59.20 ID:FIZ1O+GY0.net

iOSは情弱性が高すぎ

6 :名無しさん@1周年:2019/02/09(土) 17:16:09.91 ID:AqDZ50vN0.net

>>5
そやで
料金プランに口出しするならセキュリティについても提言してほしいところやな

16 :名無しさん@1周年:2019/02/09(土) 17:37:09.63 ID:UFxb3n+m0.net

実証コードが出回ってからが本番

57 :名無しさん@1周年:2019/02/10(日) 23:06:13.74 ID:nnogT/Vz0.net

>>40
もっといいワケしろよー

29 :名無しさん@1周年:2019/02/09(土) 18:41:44.05 ID:1h1gdis40.net

こんな大穴開けたの誰だよw
わざとか?

51 :名無しさん@1周年:2019/02/10(日) 00:14:38.61 ID:Dl5cHbTD0.net

>>1
PNGってなんて読むのが正解?
ピングだとpingと勘違いされるんだが。

8 :名無しさん@1周年:2019/02/09(土) 17:17:40.35 ID:j6uBy2DQ0.net

マジかよ
Em7とか鳴っちゃうの?

5 :名無しさん@1周年:2019/02/09(土) 17:13:29.30 ID:fylfe/nk0.net

キャリアが放置した端末ってどーなるの?
セキュリティアップデートなんて放置されっぱなしだけど。
問題じゃないかよく考えたら。

52 :名無しさん@1周年:2019/02/10(日) 02:00:45.53 ID:zBJ5pVpy0.net

ほーらやっぱりギフ最高やん

40 :名無しさん@1周年:2019/02/09(土) 19:44:46.27 ID:K1pgj6Sk0.net

>>39
ないない

今までだあれも引っかかった人なんていないから

32 :名無しさん@1周年:2019/02/09(土) 19:02:19.46 ID:t7hXocWg0.net

グロ画像開いたらさらに乗っ取られるのか w

50 :名無しさん@13周年:2019/02/09(土) 23:49:49.75 ID:mYg8tOhVZ

ウチの端末は地図しか入っていません。

49 :名無しさん@1周年:2019/02/09(土) 21:35:20.09 ID:XsGI2YNm0.net

何だか懐かしいセキュリティホールだね
画像掲示板があった時代に流行った気がする

55 :名無しさん@1周年:2019/02/10(日) 19:36:11.91 ID:HWbemOCs0.net

忠告しておくけどおまえら間違ってもここには貼るなよ??

42 :名無しさん@1周年:2019/02/09(土) 19:51:00.36 ID:jwxI+Eie0.net

むむむ
2chMate 0.8.10.10/Sony/F8132/7.1.1/LR

24 :名無しさん@1周年:2019/02/09(土) 18:16:17.29 ID:GvyfiwbE0.net

>>9
こういうのは権限昇格系の脆弱性と合わせ技で使われるから危険だよ。

参考になったらSNSでシェアお願いします!

レスを投稿する(名前省略可)

この記事を読んだ方へのおすすめ

Sponsored Link

最近のコメント

コメントはまだありません
ページTOPへ↑