ช่องโหว่ของแอนดรอยด์ที่ชื่อ StageFright มีความสามารถทำให้ผู้ไม่ประสงค์ดีสามารถบุกเข้าสมาร์ทโฟนโดยมัลแวร์ที่ฝังมากับ MMS รวมถึงผ่านทางแอพและเว็บไซต์ แม้ตอนนี้จะมีแพตช์ออกมาอุดช่องโหว่แล้วก็เหมือนเรื่องราวจะยังไม่จบ เมื่อแพตช์ที่ออกมาอุดช่องโหว่กลับมีช่องโหว่เสียเอง
Jordan Gruskovnjak นักวิจัยประจำบริษัทด้านความปลอดภัย Exodus Intelligence สามารถทำการบายพาสแพตช์ดังกล่าว ซึ่งประกอบด้วยโค้ดจำนวน 4 บรรทัดที่น่าจะผ่านการตรวจทานจากวิศวกรของกูเกิลมาก่อนแล้วได้อย่างง่ายดาย ทำให้ช่องโหว่ดังกล่าวยังคงมีผลอยู่เหมือนเดิม โดยทางบริษัทได้กล่าวว่ากูเกิลนั้นรับรู้ถึงช่องโหว่ดังกล่าวมากว่า 120 วันแล้ว แต่ไม่ได้แก้ไขอะไรเลย
เพื่อความปลอดภัย ตอนนี้ก็ขอแนะนำให้ใช้แทนที่ทับกระดาษกันไปก่อนครับ
ที่มา - BBC
Get latest news from Blognone
Follow @twitterapi
Hiring! บริษัทที่น่าสนใจ
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
นะนะนะนี่มัน bugception
@ Virusfowl
I'm not a dev. not yet a user.
สงสัย BlackBerry ไม่ต้องพัฒนามือถือแอนดรอยด์แล้ว ช่องโหว่เยอะขนาดนี้ ทำให้ปลอดภัยยาก
S2 ผมรอดแหละ ใช้รอม Slim Saber
ถ้า 120 วันจริงๆ ผมนึกถึงข่าวนี้เลย
(1) อะไรนะ (2) จะซ้ำรอยเดิมหรอเนี่ย หรือนี่จะเป็นเรื่องขำๆ
เพิ่ง update ไปไม่ถึงวัน - -
project zero เค้าไม่รู้สึกอะไรบ้างเหรอ ปล่อยไว้ตั้ง 120 วันแล้วเนี่ย
มีเอาไว้ตัดกำลังคนอื่นจริงๆสินะ หรือช่องโหว่มันก็โหว่เหมือนเดิมเลยไม่ต้องอัพอะไรใหม่
อาจจะกำลังหาทางลงแบบหล่อๆ อยู่ก็เป็นได้ครับ
เข้าใจว่าทำงานแยกส่วน กันนะครับ บัคที่ค้นพบจาก P0 ต้องรอการแก้จากทีม AOSP เหมือนกัน
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
จากคำถามผมเข้าใจ 120 วันแล้วไม่ปล่อยช่องโหว่มาประจาน???
ไม่เข้าใจครับ ช่องโหว่นี้ไม่ใช่ช่องโหว่ที่ P0 ค้นพบ ไม่มีการโพสที่บอร์ดของ P0 แต่ P0 มีหน้าที่'ประจาน'บัคที่คนอื่นค้นพบเหรอครับ?
การทำงานของ P0 คือหาบัค จากนั้นโพสบัคเป็น private ในบอร์ด และแจ้งให้เจ้าของซอฟท์แวร์ทราบ เมื่อทางเจ้าของซอฟท์แวร์แก้ไขแล้วหรือครบเส้นตายก็จะแก้ในบอร์ดให้เป็น public ต่อไป
หน่วยงานแบบ P0 มีหลายหน่วยงานครับ และหน่วยงานเหล่านี้ไม่มีหน้าที่ดูแล/ไม่ควรเข้าไปยุ่งกับบัคที่ผู้อื่นค้นพบครับ
อย่าง Jordan Gruskovnjak และ Exodus Intelligence ก็ถือว่าเป็นหน่วยงานหนึ่งเช่นกัน และรวมถึงหน่วยงานที่เผยแพร่ StageFright และ TM ด้วยซึ่งทาง Google และทีม Chrome ไม่แก้ปัญหาเหล่านี้ให้ตรงเวลา ก็โดนหน่วยงานเหล่านี้เปิดเผยเช่นกัน ไม่เกี่ยวกับ P0 ครับ
อีกอย่างกรณี P0 เปิดเผยช่องโหว่ของ MS เนี่ยเรียกว่าการประจานไม่ได้ด้วยซ้ำครับ เพราะเป็นการกระทำตาม term ปกติคือเปลี่ยนจากการเปิดเผยช่องโหว่จาก private เป็น public ไม่มีการแถลงข่าว ไม่มีการต่อว่าอะไรด้วยซ้ำ มีแต่ MS เองที่ไม่พอใจและทำให้มันเป็นข่าวมากกว่า
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
ช่องโหว่ StageFright ย้ายไปลิ้งนี้น่าจะได้ข้อมูลมากกว่าครับ
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
อยู่ในส่วน "ผ่านทางแอพและเว็บไซต์" ในข่าวแล้วครับ
+1
Russia is just nazi who accuse the others for being nazi.
someone once said : ผมก็ด่าของผมอยู่นะ :)
โฮลี่ชิท
ไม่กลัว!
นั่งแพเที่ยวจะรอบโลกแล้ว แน่จริงก็มาตามเก็บแพกลับไปดิ
Pleaseeeeee...
เพิ่งดีใจที่ในที่สุด Sony ก็ปล่อยอัพเดทอุดแต่เจอแบบนี้ไปทำที่ทับกระดาษเลยดีกว่ามั้ง
ขนาดมีคนมั่นใจว่ามีการตามแก้ตลอดแล้วนะ ถึงคราวต้องหาข้อมูลความรู้เพิ่มเติม