Google、Androidの脆弱性を放置するメーカーに警告、サムスン、Xiaomi、OPPO、グーグルなど該当 [422186189]
■ このスレッドは過去ログ倉庫に格納されています
Google Project Zero(GPZ)は夏に、多くの「Android」デバイスに存在している複数の深刻な脆弱性を発見した。その報告を受けたArmが修正パッチをリリースしたにもかかわらず、それがAndroidデバイスユーザーに届けられていない状態が続いているという。
パッチがユーザーに配信されていないという問題の影響を受けるのは、Armの「Mali」GPUを搭載しているAndroidデバイスだ。GPZのリサーチャーであるIan Beer氏が指摘しているように、Googleの「Pixel」ですら、サムスンや小米科技(シャオミ)、OPPOなどのデバイスと同様に脆弱性を抱えている。
同氏は、常日頃からコンシューマーが聞かされていること、つまり、できる限り早急にデバイスへのパッチを適用するということを、Androidデバイスの大手ベンダー全てにも実践するよう促している。数カ月前にMali GPUドライバーに対する修正パッチがArmからリリースされているにもかかわらず、現時点で自社製品に対する修正をリリースしたベンダーは1社もない状況であり、ユーザーはパッチを適用できない状態だ。
Beer氏が同社ブログに記したところによると、同じくリサーチャーのJann Horn氏はMali GPUドライバー内に悪用可能な5つの脆弱性を発見し、GPZが2325と2327、2331、2333、2334のイシューとして追跡しているという。なお、これらの脆弱性は6~7月の時点でArmに報告済みだという。
Armは7~8月にかけてこれらの問題を修正し、共通脆弱性識別子「CVE-2022-36449」を取得した上でMaliドライバーの脆弱性ページで公表するとともに、同社が開発者向けに公開しているウェブサイトで、パッチを適用したドライバーのソースコードも公開している。また、「CVE-2022-33917」として追跡されている、Mali GPUの別の脆弱性も修正されている。Beer氏は、Androidデバイスのベンダー各社による「パッチの遅れ」に関するレポートで、これら双方の脆弱性について言及している。
ベンダー各社は数カ月前からパッチをリリースできるだけの情報を入手していたことになる。にもかかわらず、GPZが最近調査したところによると、大手ベンダー全社が、これらのパッチをリリースしていなかった。
GPZは独自のポリシーに基づき、公開を控えていた5つのレポートの一般アクセスを可能にした。つまり望めば誰もが必要な情報の大半を入手し、最新のAndroidスマホに影響を与えるこの脆弱性を突くエクスプロイトを作成できるようになるのだ。
https://japan.zdnet.com/article/35196613/
放置ダメ
放置危ない 脆弱性放置するGoogleをAndroidから排除しろ ジャップAndroidなんか殆ど更新されてないだろ Android 8の頃に発表された分離方式(名前忘れた)はあれ結局機能してんの?
相変わらずにしか見えんのだけど 警告したGoogleと警告されたグーグルは別の会社なの? Googleとかいうクソ会社最低だなAndroidからハブろうぜ Androidのコア部分はメーカーではなくGoogleがアップデートさせるみたいな方法は取れないのかね
アップデートというかそのバージョンのセキュリティパッチ そもそもAndroidが全機種更新できるようにしろよ >>10
してる
他機種向けに作られたカスタムROMのソース拾ってきて自分の機種に簡単に使い回せる 最長でも90日以内のアップデート提供が義務づけられる、Android Enterprise Recmendded準拠と謳っておいて
アップデートぶん投げるクソベンダーがのうのうとしているくらい、有名無実化してるからな… スペックに問題なければ最新Ver.OSへのアプデをしてくれれば良いだけの話なんよ Googleが売ってるやつですら脆弱性放置なのかよ >>11
先ずは週に1回とかのバイトでいいから働いて世の中見てみなさい >>19
ハードやドライバはメーカー側の責任だからGoogleはやりたがらないだろうね
でもGoogleはやるべきだわな
WindowsでさえMSが必死こいてドライバかき集めて提供するようになって
ユーザがドライバ云々で騒ぐことがめっきり減ったし 実害ないんだから別にしなくてもいいじゃん
なんでもかんでも可能性とか恐れとかゆってるのはもうビョーキだわ 泥て窓と違ってドライバ当てる煩雑さから解放されるとおもてたけど違うのか えぇ?
日本のキャリア経由のスマホなんか、OSアップデート全くやってないでしょ キャリアがカスタマイズしてだして放置してるんだよね
脆弱性は放置、しかも次から次へと出していって前のだから放置 これは根本的には
Androidのアップデートシステムがアレなんだよな
ディスクイメージの差分アップデートだから
各機種それぞれに専用のディスクイメージが必要になるのが
アレな訳で サポート切れてるAndroid使い続けてるアホが多いからな
そんなもんに平気でクレジットカード情報とか銀行情報とか扱うマヌケっぷり どうせiPhoneも似たようなもんなんだろ?
どこも一緒じゃんw OS関係は本当にMS神か?ってなるよなあ
互換性概ね保ちつつちゃんとアプデしてくれるのやってるのMSだけだし >>54
ほんとこれ。
セキュリティアップデートが終わったらその端末も終わりなんだよなあ
機種スレで言うと買い換えられないアホが抗弁してくるけど
ショボーンとかいうAAがついてくる率も高い ■ このスレッドは過去ログ倉庫に格納されています