2015年1月24日土曜日

Android 4.3以下のセキュリティ問題

グーグル、Android 4.3以下のセキュリティ問題に公式言及。自分でできる対策方法も
2015/01/24(土) 20:48 文: きもば
jb43
少し前に、「Android 4.3以下のセキュリティが切り捨てられる、9億台が脆弱性に晒される」と話題になったことがありました。
これはセキュリティ研究者がAndroid 4.3以前のWebViewの脆弱性を報告したのに対し、Googleが対応しないと回答したことに端を発するもの。
これについてGoogleのAdrian Ludwig氏がGoogle+上で公式に言及しました。
それによれば、Android 4.3以下で採用されているWebViewは、レンダリングエンジンとしてWebKitが用いられていますが、
このプロジェクトは2年以上の時を経て、
コードが500万行にものぼり、数百の開発者が毎月数千もの新しいコミットを追加するなど、
非常に膨大なものとなったため、
脆弱性のパッチを適用することも難しくなってきていました。
そこでAndroid 4.4以降ではWebViewではなくGoogleのChromiumが用いられ、この部分はシステムから分離されました。
これによりGooglePlay経由で直接アップデートが可能なので、常に安全な状態が保てます。
以上がGoogleのWebViewにセキュリティパッチのサポートをやめた理由・経緯となります。
WebViewは標準ブラウザや、アプリ内ブラウザなどに利用されているものです。
これまでGoogleが行っていたセキュリティパッチの適用を、各OEMメーカーが実施するか、またはAndroid 4.4へのバージョンアップを提供することで、
脆弱性の問題はクリアできますが、そうは言ってもなかなか最新のOSにアップデートされるデバイスばかりでもありません。
そこで、Adrian Ludwig氏の奨励する、個人でもできる対策方法が、ChromeやFirefoxといったブラウザを使うことです。
これらはまず、WebViewを利用していない上に、単独のアプリとして提供されているため、Google Playで最新の状態を保つことができるので、脆弱性への対処もすぐに行われるからです。
同氏はSamsung、LG、Motorola、HTCといった大手メーカーの端末やNexusシリーズは、Chromeがプリインストールまたはデフォルトブラウザとなっていることを指摘しています。
Xperiaシリーズも国内版はキャリアのサービスとの互換性からか「標準ブラウザ」がインストールされていますが、
確かに国際版はChromeしか入っていませんね。
Android 4.3以下のユーザーが今すぐに取れる自衛措置は、ChromeやFirefoxといったブラウザに乗り換えること、ということになりそうです。
ただしWebViewを用いて作成されたアプリケーションで、脆弱性を突いたページを開いてしまう可能性もゼロとは言い切れませんので、
100%解決とは言いにくいところではありますが、普通にブラウジングする上では安心と言えるのではないでしょうか。

すまほん!!
https://smhn.info/201501-android-4-3-jelly-bean-security

2015年1月12日月曜日

古いAndroidのサポート終了か

Google、古いAndroidのサポート終了か 9億台で脆弱性放置の恐れ  ITmedia
投稿者 ダイナモ
日時 2015 年 1 月 13 日 21:56:2
世界でまだ9億台あまりの端末に搭載されている旧バージョンのAndroidについて、
米Googleが脆弱性を修正するパッチの提供を打ち切っていたことが分かったという。
脆弱性検証ツール「Metasploit」を手掛けるRapid7の研究者が1月12日のブログで伝えた。
それによると、Googleは最近まで、Android 4.3(Jelly Bean)の脆弱性について報告を受けると迅速に対応していた。
ところが、このほど新たに4.4よりも前のバージョンのWebViewの脆弱性を報告したところ、
Googleのインシデント対応担当者からメールで「もし影響を受けるのが4.4よりも前のバージョンであれば、
我々は一般的に、自らパッチを開発しない。4.4より前のバージョンに影響する報告で、
パッチを伴わないものについては、OEMに通知する以外の対応はできない」と返事があったという。
WebViewはAndroid 4.3までのバージョンに使われていたWebページレンダリングのためのコンポーネントで、
Android 4.4(KitKat)からはChromiumベースのバージョンに置き換えられている。
OSなどのサポートを巡っては、米Microsoftがサポート期限を公表しているのに対し、
GoogleやAppleは公表していない。
しかしRapid7の研究者はGoogleの返答から、
現時点で同社がサポートの対象としているAndroidは現行バージョンのLollipop(5.0)と1つ前のバージョンのKitKat(4.4)に限られていて、
Jelly Bean(4.0~4.3)までのバージョンについては、WebViewの脆弱性修正パッチ提供が打ち切られたことが分かったと指摘した。
Googleの統計によれば、
2015年1月5日の時点でLollipopの普及率は0.1%に満たず、
KitKatは約39%。残る60%をJelly Beanまでのバージョンが占めている。
それにもかかわらずGoogleのサポートは打ち切られ、
「9億3000万台以上のAndroid携帯がGoogleの公式セキュリティパッチの対象外になっている」(Rapid7の研究者)という。
「脆弱性が公開されているにもかかわらずアップストリームベンダーがパッチを提供するつもりがないのなら、
一般ユーザーは永久に脆弱なまま放置される」と研究者は述べ、攻撃の格好の標的になりかねないと危惧。
「次に脆弱性が公開された時にはGoogleが考え直してくれることを願う」と結んでいる。

ITmedia
http://www.itmedia.co.jp/news/articles/1501/13/news113.html  

★阿修羅♪
http://www.asyura2.com/14/it12/msg/116.html

2015年1月8日木曜日

広告情報


メルマガ無料一括投稿-宣伝ガエル
当サイトは8年以上に渡り、メールマガジンの発行を行ってきた
メールマガジン発行のプロです。

宣伝ガエル
http://ad-frog.info/

広告情報


TwitterやFacebookなど複数のSNSに一括投稿できる「Polarbear」を試してみました - GIGAZINE
2014年04月09日 23時00分54秒
TwitterやFacebookなど複数のSNSに一括投稿できる「Polarbear」を試してみました
Twitter・Facebook・Tumblrなど複数のSNSを駆使している場合に、いちいち個別に投稿するのは手間なものです。
そこで、複数のSNSへの投稿を一括で行うことのできるソフト「Polarbear」を使って、一気にSNSへの投稿を行ってみました。

GIGAZINE
http://gigazine.net/news/20140409-polarbear/

Polarbear
http://www.polarbearapp.com/windows-private-beta-1.0.1

広告情報


無料一括投稿 「スカイブルー」

提携マガジン一覧
 上記サイト提携マガジン一覧に登録されているマガジン全てに一括投稿されます。(受信停止中は除く。)
 これら全てがマガジンへの掲載条件としてマガジン購読の代理登録を行うとすると、1誌当たり1日に5通発行しているとしたら、登録マガジン数×5倍のマガジンが貴方のメールアドレスに配信される事になります。
 代理登録されたマガジンの購読解除は当サイトでは行えません。投稿者ご自身でマガジン毎に個々に解除してください。
 その旨をご了解の上、ご投稿ください。当サイトは被った如何なる損害も補償いたしません。

スカイブルー
http://www.livewits.com/m_ikatu/regk.cgi?rid=a13568

ブログ情報


楽ブロ
売上を大幅に上げるためのブログ一括投稿システム
複数ブログを運営されている方へ、ようこそ、楽ブロのホームページへ。
楽ブロはあなたのブログに1クリックで一括投稿できるシステムです。
しかも無料でご利用になれます。
複数のブログを運営されている方はそれぞれのブログで、
ログイン→投稿
ログイン→投稿
ログイン→投稿
・・・
を繰り返していたことでしょう。
管理するブログが増えれば増えるほど、作業が膨大になっていく・・・
複数のブログを管理するのは大変
これらの作業ってとても面倒じゃありませんか?
楽ブロは、1つの管理画面から、
あなたのブログ全てに1クリック投稿ができる”ブログ一括投稿システム”です。

楽ブロ
http://rakublo.jp/

ブログ情報


一発太郎
自分のホームページを見て欲しい!!」 というあなたの為に、この「一発太郎」が一肌脱ぎましょう!
より多くの人に自分のホームページを知って、そして見てもらう為には、 やはりみんなが利用する多くのサーチエンジンに登録しておく必要があります。しかし、
・「サーチエンジンのURLがわからない?」  ・「サーチエンジン毎に掲載依頼する処理が面倒くさい!」
・「どのサーチエンジンに掲載依頼すべきか分からない」  ・「登録依頼だけでなく、掲載済みの内容の変更依頼をしたい」
という方々も多いのではないでしょうか?
そこで登場の「一発太郎」!!
「一発太郎」では、国内の複数のサーチエンジンに一発で登録依頼する事が可能なのです。 しかも、目的のサーチエンジンがビジー(相手のサーバーが混雑している事)で、すぐに登録依頼処理が完了出来なくても安心!!。 貴方が入力した内容を「一発太郎」がちゃんと保存してくれますので、時間をおいて再度登録依頼処理を行う事も簡単に出来るのです。
「一発太郎」は、もちろん「無料」でお使い頂けます。
そして決定打が、 超人気サーチエンジン「Yahoo Japan」へ効果的に登録依頼が出来るインターフェイス機能とYahoo Japan全カテゴリー情報のリアルタイム追従機能も提供しています。
無料一括登録サービスで「Yahoo Japan」の対応を可能にしているのは、「一発太郎」だけです。(現在メンテナンス中です)
その他「一発太郎」にはホームページ開設者に役立つ機能が満載です。
さぁ、必要事項を入力の上、登録依頼をスタートして下さい!

一発太郎
http://ippatsu.net/TARO/