OWASP Night 18th に参加したので備忘録。
今回の内容:
1. Outreach Activities + α
2. Hardening Project
3. ざっくりわかるインシデントレスポンス
4. アプリケーションセキュリテイ検査・検証の標準化
2015年7月30日木曜日
2015年7月28日火曜日
Android Stagefright
Android の Stagefright に関する脆弱性が騒ぎになっているので、
自分なりの備忘録。
1. 概要
・Google Hangouts、Google Messenger を使っている場合、SMS / MMS で
ビデオメッセージを受信することで任意のコードが実行される
・影響を受けるバージョン Android 2.2 Froyo 以降
・メディアエンジン Stagefright の脆弱性
・現時点(2015/07/28)でセキュリティパッチの提供はなし
2. SMS/MMS 受信時にコード実行を抑止する方法
・Google Hangouts を使ってる人。
Setting - SMS - Auto retrieve MMS のチェックを外す。
・Google Messenger を使ってる人。
Setting - Advanced - Auto-retrieve のチェックを外す。
・Galaxy S6 を使ってる人。
Go to Messages app - More - Settings - More settings - Multimedia messages - Auto retrieve
の項目をオフにする。
3. 研究者が報告したCVE(未公開
CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829
参考サイト:
・The 'Stagefright' exploit: What you need to know
・How to Protect Your Android Device From Stagefright Exploit
自分なりの備忘録。
1. 概要
・Google Hangouts、Google Messenger を使っている場合、SMS / MMS で
ビデオメッセージを受信することで任意のコードが実行される
・影響を受けるバージョン Android 2.2 Froyo 以降
・メディアエンジン Stagefright の脆弱性
・現時点(2015/07/28)でセキュリティパッチの提供はなし
2. SMS/MMS 受信時にコード実行を抑止する方法
・Google Hangouts を使ってる人。
Setting - SMS - Auto retrieve MMS のチェックを外す。
・Google Messenger を使ってる人。
Setting - Advanced - Auto-retrieve のチェックを外す。
・Galaxy S6 を使ってる人。
Go to Messages app - More - Settings - More settings - Multimedia messages - Auto retrieve
の項目をオフにする。
3. 研究者が報告したCVE(未公開
CVE-2015-1538
CVE-2015-1539
CVE-2015-3824
CVE-2015-3826
CVE-2015-3827
CVE-2015-3828
CVE-2015-3829
参考サイト:
・The 'Stagefright' exploit: What you need to know
・How to Protect Your Android Device From Stagefright Exploit
2015年7月14日火曜日
登録:
投稿 (Atom)