ช่องโหว่ของแอนดรอยด์ที่ชื่อ StageFright มีความสามารถทำให้ผู้ไม่ประสงค์ดีสามารถ บุกเข้าสมาร์ทโฟนโดยมัลแวร์ที่ฝังมากับ MMS รวมถึง ผ่านทางแอพและเว็บไซต์ แม้ตอนนี้จะมีแพตช์ออกมาอุดช่องโหว่แล้วก็เหมือนเรื่องราวจะยังไม่จบ เมื่อแพตช์ที่ออกมาอุดช่องโหว่กลับมีช่องโหว่เสียเอง
Jordan Gruskovnjak นักวิจัยประจำบริษัทด้านความปลอดภัย Exodus Intelligence สามารถทำการบายพาสแพตช์ดังกล่าว ซึ่งประกอบด้วยโค้ดจำนวน 4 บรรทัดที่น่าจะผ่านการตรวจทานจากวิศวกรของกูเกิลมาก่อนแล้วได้อย่างง่ายดาย ทำให้ช่องโหว่ดังกล่าวยังคงมีผลอยู่เหมือนเดิม โดยทางบริษัทได้กล่าวว่ากูเกิลนั้นรับรู้ถึงช่องโหว่ดังกล่าวมากว่า 120 วันแล้ว แต่ไม่ได้แก้ไขอะไรเลย
เพื่อความปลอดภัย ตอนนี้ก็ขอแนะนำให้ใช้แทนที่ทับกระดาษกันไปก่อนครับ
ที่มา - BBC
Get latest news from Blognone
Follow @twitterapi
Comments
นะนะนะนี่มัน bugception
@ Virusfowl
I'm not a dev. not yet a user.
สงสัย BlackBerry ไม่ต้องพัฒนามือถือแอนดรอยด์แล้ว ช่องโหว่เยอะขนาดนี้ ทำให้ปลอดภัยยาก
S2 ผมรอดแหละ ใช้รอม Slim Saber
ถ้า 120 วันจริงๆ ผมนึกถึงข่าวนี้เลย
(1) อะไรนะ (2) จะซ้ำรอยเดิม หรอเนี่ย หรือนี่จะเป็นเรื่องขำๆ
เพิ่ง update ไปไม่ถึงวัน - -
project zero เค้าไม่รู้สึกอะไรบ้างเหรอ ปล่อยไว้ตั้ง 120 วันแล้วเนี่ย
มีเอาไว้ตัดกำลังคนอื่นจริงๆสินะ หรือช่องโหว่มันก็โหว่เหมือนเดิมเลยไม่ต้องอัพอะไรใหม่
อาจจะกำลังหาทางลงแบบหล่อๆ อยู่ก็เป็นได้ครับ
เข้าใจว่าทำงาน แยกส่วน กันนะครับ บัคที่ค้นพบจาก P0 ต้องรอการแก้จากทีม AOSP เหมือนกัน
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)
จากคำถามผมเข้าใจ 120 วันแล้วไม่ปล่อยช่องโหว่มาประจาน???
ไม่เข้าใจครับ ช่องโหว่นี้ไม่ใช่ช่องโหว่ที่ P0 ค้นพบ ไม่มีการโพสที่บอร์ดของ P0 แต่ P0 มีหน้าที่'ประจาน'บัคที่คนอื่นค้นพบเหรอครับ?
การทำงานของ P0 คือหาบัค จากนั้นโพสบัคเป็น private ในบอร์ด และแจ้งให้เจ้าของซอฟท์แวร์ทราบ เมื่อทางเจ้าของซอฟท์แวร์แก้ไขแล้วหรือครบเส้นตายก็จะแก้ในบอร์ดให้เป็น public ต่อไป
หน่วยงานแบบ P0 มีหลายหน่วยงานครับ และหน่วยงานเหล่านี้ไม่มีหน้าที่ดูแล/ไม่ควรเข้าไปยุ่งกับบัคที่ผู้อื่นค้นพบครับ
อย่าง Jordan Gruskovnjak และ Exodus Intelligence ก็ถือว่าเป็นหน่วยงานหนึ่งเช่นกัน และรวมถึงหน่วยงานที่เผยแพร่ StageFright และ TM ด้วยซึ่งทาง Google และทีม Chrome ไม่แก้ปัญหาเหล่านี้ให้ตรงเวลา ก็โดนหน่วยงานเหล่านี้เปิดเผยเช่นกัน ไม่เกี่ยวกับ P0 ครับ
อีกอย่างกรณี P0 เปิดเผยช่องโหว่ของ MS เนี่ยเรียกว่าการประจานไม่ได้ด้วยซ้ำครับ เพราะเป็นการกระทำตาม term ปกติคือเปลี่ยนจากการเปิดเผยช่องโหว่จาก private เป็น public ไม่มีการแถลงข่าว ไม่มีการต่อว่าอะไรด้วยซ้ำ มีแต่ MS เองที่ไม่พอใจและทำให้มันเป็นข่าวมากกว่า
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)
ช่องโหว่ StageFright ย้ายไป ลิ้งนี้ น่าจะได้ข้อมูลมากกว่าครับ
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)
อยู่ในส่วน "ผ่านทางแอพและเว็บไซต์" ในข่าวแล้วครับ
+1
Russia is just nazi who accuse the others for being nazi.someone once said : ผมก็ด่าของผมอยู่นะ :)
โฮลี่ชิท
ไม่กลัว!
นั่งแพเที่ยวจะรอบโลกแล้ว แน่จริงก็มาตามเก็บแพกลับไปดิ
Pleaseeeeee...
เพิ่งดีใจที่ในที่สุด Sony ก็ปล่อยอัพเดทอุดแต่เจอแบบนี้ไปทำที่ทับกระดาษเลยดีกว่ามั้ง
ขนาดมีคนมั่นใจว่ามีการตามแก้ตลอดแล้วนะ ถึงคราวต้องหาข้อมูลความรู้เพิ่มเติม