アカウント名:
パスワード:
TIFFファイルが狙われるのは今回に限ったことじゃない。というかTIFFって危険すぎる。Stagefrightはメディアファイルだから分かりづらいけど、こっちは.tiffを避ければいいだけだから比較的まし?
iMessageやMMSで攻撃用のファイルを送り付ければ、ターゲットが操作を行わなくても攻撃が実行される可能性も指摘されている。
構造がきれいで良いフォーマットなんだけど、かえってそれがこういった手抜き/不注意を許してしまう。もどかしいな。
それは本当ですか? > 構造がきれいで良いフォーマット書くのは良いが読むのは地獄のフォーマットだと思います。(だから普通は libtiff を使うのでは?)
別ACですが、読むのが大変なのは画像の形式と圧縮方法が多いからでフォーマットの良し悪しはあまり関係ないのでは。
#形式と圧縮方法が多すぎるのは規格の欠点ではある。
コンテナでバージョンもそれなりに積んでるから、ってのもあるかもね。bmp で格納した tiff だけなら互換もセキュリティも、そんなに問題にならないと思うんだけど。枯れているようで枯れきってない感が。
However, Apple hasn’t yet released patches for either Mavericks or Yosemite.
About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004 [apple.com]をみると、Security Update 2016-004 は Mavericks [apple.com] と Yosemite [apple.com] だけのようですが。
El Capitan のセキュリティ fix は v10.11.6 アップグレードに含まれているようです。
Yosemiteすら対応しないのか…
こーゆーの、一人で頑張って書いてるのかな
> Androidならメーカーやキャリアが古いメジャーバージョンでもセキュリティ修正だけできるけど
これって実際に行われている話ですか?
行われているなら、こんな記事 [yomiuri.co.jp]書かれない。
> どうしてそんなスラドでApple信仰のためにだけは記事が正しいとにかく正しい絶対正しいって思考に走るんでしょうね?
どこが間違っているか指摘できますか?
すげーな。「Apple」と「Android」を入れ替えたらまんま自分が喚いていることだと分かってないのか。
http://www.docomo.biz/html/support/product_update/f04f/ [docomo.biz]
「3年以上経っても」ってそれくらいなら iOS をアップデートしても問題ないのでは?
多様性云々は普通セキュリティアップデートの観点からはマイナスでしょう。セキュリティアップデートを迅速に出すのは大変なはずです。
多くのAndroid端末で「Stagefright」脆弱性が残っている [security.srad.jp]と比べたらどうなんでしょう。私の周りでも Android で Pokemon GO 対応にできないという人がいますし、けっこう古いまま放置されているような。
Android と言っても Nexus やメジャーどころ、キャリアが売ってる品はセキュリティアップデートを頻繁に行っている。その一方でSIMフリー機種の中にはセキュリティ何それ状態になってるのもあるが、最近は Google がモジュールとして出しているので多少はマシになってるな。
製品寿命が過ぎた品が放置されているのは Android も iPhoneも同じ。要はAndroidなんてピンキリなわけで、キリしか見てないから Apple 信者と揶揄されるんだよ。
「Apple信者は本気で多様性がないほうがいいと思ってる危険な思想の異常者なんじゃないか?」
向こう側からはこちらが「向こう側」に見えるものです。自分がいない方が常に「異常」とは限りません。
毎回否定されて反論できずに、捨て台詞はいて逃げ出しているくせにw
> 「すべてのAndroid機種に脆弱性が”ないことを証明しろ”!!」と叫びますが、
どこで? スラドでそんなこと言っている人いますか? 挙げられますか??
えー?
「キャリアで売ってるスマホはセキュリティアップデートしてるじゃん」って何度言ってもあーだこーだ蒸し返す人が後を絶たないからてっきり「すべてのAndroid機種に脆弱性が”ないことを証明しろ”!!」って言いたいんだと思ってたよ。
違ったの?
つまり、斯様な事を仰っている方は貴殿の頭の中にしか居ないという事ですね。
iOS端末のシェア考えたら少な過ぎて割に合わんだろ旧iOSを使う邪教徒なんてApple様のご威光でロックしてしまえばいいんだよだって、今回の脆弱性はfixしないけど、その他はちゃんと修正してる、、、訳ないんだからまあ利用者の自業自得だけどな
カーネルレベルやJavaより上の層はあんまりいじってないと思う。
> カーネルレベルやJavaより上の層はあんまりいじってないと思う。
少なくともキャリアレベルでのセキュリティ機構ではカーネルまでいじってますauの3LMは公式に言及してますし、同じレベルのことはドコモもやってるでしょうまたシャープやNECなど国内専用仕様のメーカーではさらにガチガチに固められていていまだにrootをとることができない機種も多くあります
Javaよりも上というのが何を言いたいのか曖昧ですが、AndroidOSから見てシステムアプリ/ユーザアプリとして見えるものでしょうか?その辺なんてそれこそGooglePlay経由なりファーム更新なりでチマチマ更新されてるところですよ
特にAndroidシステムアプリのセキュリティ更新はGooglePlay経由で利用者に一切見えないステルス更新が可能なんですが、おそらくこれも知らないのででしょうね
例えるなら、タチコマにバグがあったような物だもんね。
#わかってくれる人がいると嬉しい
自白ご苦労様。自分がやってることは、人もやっているだろうと疑いだすもんだよなw君は鏡を見ているのよ。
お薬出しておきますね
あなたの周り中Apple信者ばかり、あなたを陥れようとしている人ばかりで、さぞ生きにくいでしょうなwお医者さんに行くと少し楽になるかもしれませんよ。
バレバレ
↑犯人
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
「毎々お世話になっております。仕様書を頂きたく。」「拝承」 -- ある会社の日常
実によくある脆弱性 (スコア:1)
TIFFファイルが狙われるのは今回に限ったことじゃない。というかTIFFって危険すぎる。
Stagefrightはメディアファイルだから分かりづらいけど、こっちは.tiffを避ければいいだけだから比較的まし?
Re:実によくある脆弱性 (スコア:1)
iMessageやMMSで攻撃用のファイルを送り付ければ、ターゲットが操作を行わなくても攻撃が実行される可能性も指摘されている。
Re: (スコア:0)
構造がきれいで良いフォーマットなんだけど、かえってそれがこういった手抜き/不注意を許してしまう。
もどかしいな。
Re:実によくある脆弱性 (スコア:1)
それは本当ですか? > 構造がきれいで良いフォーマット
書くのは良いが読むのは地獄のフォーマットだと思います。
(だから普通は libtiff を使うのでは?)
Re: (スコア:0)
別ACですが、読むのが大変なのは画像の形式と圧縮方法が多いからでフォーマットの良し悪しはあまり関係ないのでは。
#形式と圧縮方法が多すぎるのは規格の欠点ではある。
Re: (スコア:0)
コンテナでバージョンもそれなりに積んでるから、ってのもあるかもね。
bmp で格納した tiff だけなら互換もセキュリティも、そんなに問題にならないと思うんだけど。
枯れているようで枯れきってない感が。
そろそろアップグレード時か。。。 (スコア:1)
However, Apple hasn’t yet released patches for either Mavericks or Yosemite.
Re:そろそろアップグレード時か。。。 (スコア:2)
About the security content of OS X El Capitan v10.11.6 and Security Update 2016-004 [apple.com]をみると、Security Update 2016-004 は Mavericks [apple.com] と Yosemite [apple.com] だけのようですが。
El Capitan のセキュリティ fix は v10.11.6 アップグレードに含まれているようです。
Re: (スコア:0)
Yosemiteすら対応しないのか…
Re: (スコア:0)
こーゆーの、一人で頑張って書いてるのかな
Re: (スコア:0)
夏休みに入ったことだし
Re:Androidよりも圧倒的に重大で危険 (スコア:2)
> Androidならメーカーやキャリアが古いメジャーバージョンでもセキュリティ修正だけできるけど
これって実際に行われている話ですか?
Re: (スコア:0)
行われているなら、こんな記事 [yomiuri.co.jp]書かれない。
Re:Androidよりも圧倒的に重大で危険 (スコア:1)
> どうしてそんなスラドでApple信仰のためにだけは記事が正しいとにかく正しい絶対正しいって思考に走るんでしょうね?
どこが間違っているか指摘できますか?
Re:Androidよりも圧倒的に重大で危険 (スコア:1)
すげーな。
「Apple」と「Android」を入れ替えたらまんま自分が喚いていることだと分かってないのか。
Re: (スコア:0)
http://www.docomo.biz/html/support/product_update/f04f/ [docomo.biz]
Re:Androidよりも圧倒的に重大で危険 (スコア:2)
「3年以上経っても」ってそれくらいなら iOS をアップデートしても問題ないのでは?
多様性云々は普通セキュリティアップデートの観点からはマイナスでしょう。セキュリティアップデートを迅速に出すのは大変なはずです。
多くのAndroid端末で「Stagefright」脆弱性が残っている [security.srad.jp]と比べたらどうなんでしょう。私の周りでも Android で Pokemon GO 対応にできないという人がいますし、けっこう古いまま放置されているような。
Re: (スコア:0)
Android と言っても Nexus やメジャーどころ、キャリアが売ってる品はセキュリティアップデートを頻繁に行っている。
その一方でSIMフリー機種の中にはセキュリティ何それ状態になってるのもあるが、
最近は Google がモジュールとして出しているので多少はマシになってるな。
製品寿命が過ぎた品が放置されているのは Android も iPhoneも同じ。
要はAndroidなんてピンキリなわけで、キリしか見てないから Apple 信者と揶揄されるんだよ。
Re: (スコア:0)
「Apple信者は本気で多様性がないほうがいいと思ってる危険な思想の異常者なんじゃないか?」
向こう側からはこちらが「向こう側」に見えるものです。
自分がいない方が常に「異常」とは限りません。
Re: (スコア:0)
毎回否定されて反論できずに、捨て台詞はいて逃げ出しているくせにw
Re: (スコア:0)
> 「すべてのAndroid機種に脆弱性が”ないことを証明しろ”!!」と叫びますが、
どこで? スラドでそんなこと言っている人いますか? 挙げられますか??
Re: (スコア:0)
えー?
「キャリアで売ってるスマホはセキュリティアップデートしてるじゃん」って何度言ってもあーだこーだ蒸し返す人が後を絶たないから
てっきり「すべてのAndroid機種に脆弱性が”ないことを証明しろ”!!」って言いたいんだと思ってたよ。
違ったの?
Re: (スコア:0)
つまり、斯様な事を仰っている方は貴殿の頭の中にしか居ないという事ですね。
Re: (スコア:0)
iOS端末のシェア考えたら少な過ぎて割に合わんだろ
旧iOSを使う邪教徒なんてApple様のご威光でロックしてしまえばいいんだよ
だって、今回の脆弱性はfixしないけど、その他はちゃんと修正してる、、、訳ないんだから
まあ利用者の自業自得だけどな
Re: (スコア:0)
カーネルレベルやJavaより上の層はあんまりいじってないと思う。
Re: (スコア:0)
> カーネルレベルやJavaより上の層はあんまりいじってないと思う。
少なくともキャリアレベルでのセキュリティ機構ではカーネルまでいじってます
auの3LMは公式に言及してますし、同じレベルのことはドコモもやってるでしょう
またシャープやNECなど国内専用仕様のメーカーではさらにガチガチに固められていて
いまだにrootをとることができない機種も多くあります
Javaよりも上というのが何を言いたいのか曖昧ですが、
AndroidOSから見てシステムアプリ/ユーザアプリとして見えるものでしょうか?
その辺なんてそれこそGooglePlay経由なりファーム更新なりでチマチマ更新されてるところですよ
特にAndroidシステムアプリのセキュリティ更新は
GooglePlay経由で利用者に一切見えないステルス更新が可能なんですが、
おそらくこれも知らないのででしょうね
Re: (スコア:0)
例えるなら、タチコマにバグがあったような物だもんね。
#わかってくれる人がいると嬉しい
Re: (スコア:0)
自白ご苦労様。自分がやってることは、人もやっているだろうと疑いだすもんだよなw
君は鏡を見ているのよ。
Re: (スコア:0)
お薬出しておきますね
Re: (スコア:0)
あなたの周り中Apple信者ばかり、あなたを陥れようとしている人ばかりで、さぞ生きにくいでしょうなw
お医者さんに行くと少し楽になるかもしれませんよ。
Re: (スコア:0)
バレバレ
Re: (スコア:0)
↑犯人