現在時刻 - 2018年5月26日(土) 20:48


【CVE-2013-6282】次に端末買うときは、買う前に公開ソース見ろ

返信する


答えを正確に入力してください。答えられるかどうかでスパムボットか否かを判定します。
スマイリー
:D :) ;) :( :o :shock: :? 8-) :lol: :x :P :oops: :cry: :evil: :twisted: :roll: :!: :?: :idea: :arrow: :| :mrgreen: :geek: :ugeek:
BBCode: ON
[img]: OFF
[flash]: OFF
[url]: ON
スマイリー: ON
トピックのレビュー
   

展開ビュー トピックのレビュー: 【CVE-2013-6282】次に端末買うときは、買う前に公開ソース見ろ

Re: 【CVE-2013-6282】次に端末買うときは、買う前に公開ソース見ろ

投稿記事 by 173210 » 2014年4月12日(土) 21:18

>他の端末はブートーローダアンロック出来ない端末はとにかくソース公開まで待つ(グローバル版も全て含めて考えていい)
むしろそんな端末にはガンガン人柱してもらうべきでは?

【CVE-2013-6282】次に端末買うときは、買う前に公開ソース見ろ

投稿記事 by HomuHomu » 2014年3月17日(月) 23:35

現状の端末(Qualcom端末)において脆弱性をついてroot shellになる隙は、一つしかないと言っていい(新たな発見された脆弱性をついて権限昇格可能なものが出るまでは)
Missing access checks in put_user/get_user kernel API (CVE-2013-6282)
https://www.codeaurora.org/projects/sec ... -2013-6282
↓対策パッチ
https://www.codeaurora.org/cgit/quic/la ... inux-3.4.y

2014年の春夏モデルは、ほぼ全部このパッチが当たっていると考えてもらっていい。
LGEが異常に対策遅すぎなんだよ、Lー01FもLGL22もLGL23も現在(2014/3/17)のアップデートファームウェアも含めて全てこの対策がなされていない。
しかし、グローバル版Kitkat LGE端末はこのパッチが当たっており、加えて、lokiのexpoitも塞がれてるため、現状CWMどころか、temprootさえ取るのは不可能と見る。

HTCの場合、M7 GoogleEditionのkitkatファームウェアでこのパッチが当たっている事を確認したため、
https://github.com/faux123/htc-m7/blob/ ... ler.h#L278
現状HTC J ONEでS-OFFしてない状態で公式KKアップデートすると多分泣きを見ることに
もちろん、M8が来た時も(当分の間)temproot取ることは不可能と見ている。

Samsungの場合、いつものように、make_rooted_systemで何とかなっちゃうだろうから、何も心配していない(買ってよい S5は発売前から不人気っぽいけどw)

他の端末はブ-ートーローダアンロック出来ない端末はとにかくソース公開まで待つ(グローバル版も全て含めて考えていい)
ソース公開されたら、パッチ当たってるかどうか確認。当たってたら新たな脆弱性が出てくるまでスルー
基本中の基本だけど、まずは、はじめにソース見ろよコラ!!ってことでメモ書きした。異論は認める。

ページトップ