Google、Androidの脆弱性を放置するメーカーに警告、サムスン、Xiaomi、OPPO、グーグルなど該当

1 : 2022/12/01(木) 11:40:44.32 ID:XbHnF6VGd: Google Project Zero（GPZ）は夏に、多くの「Android」デバイスに存在している複数の深刻な脆弱性を発見した。その報告を受けたArmが修正パッチをリリースしたにもかかわらず、それがAndroidデバイスユーザーに届けられていない状態が続いているという。
パッチがユーザーに配信されていないという問題の影響を受けるのは、Armの「Mali」GPUを搭載しているAndroidデバイスだ。GPZのリサーチャーであるIan Beer氏が指摘しているように、Googleの「Pixel」ですら、サムスンや小米科技（シャオミ）、OPPOなどのデバイスと同様に脆弱性を抱えている。
同氏は、常日頃からコンシューマーが聞かされていること、つまり、できる限り早急にデバイスへのパッチを適用するということを、Androidデバイスの大手ベンダー全てにも実践するよう促している。数カ月前にMali GPUドライバーに対する修正パッチがArmからリリースされているにもかかわらず、現時点で自社製品に対する修正をリリースしたベンダーは1社もない状況であり、ユーザーはパッチを適用できない状態だ。
Beer氏が同社ブログに記したところによると、同じくリサーチャーのJann Horn氏はMali GPUドライバー内に悪用可能な5つの脆弱性を発見し、GPZが2325と2327、2331、2333、2334のイシューとして追跡しているという。なお、これらの脆弱性は6～7月の時点でArmに報告済みだという。
Armは7～8月にかけてこれらの問題を修正し、共通脆弱性識別子「CVE-2022-36449」を取得した上でMaliドライバーの脆弱性ページで公表するとともに、同社が開発者向けに公開しているウェブサイトで、パッチを適用したドライバーのソースコードも公開している。また、「CVE-2022-33917」として追跡されている、Mali GPUの別の脆弱性も修正されている。Beer氏は、Androidデバイスのベンダー各社による「パッチの遅れ」に関するレポートで、これら双方の脆弱性について言及している。
ベンダー各社は数カ月前からパッチをリリースできるだけの情報を入手していたことになる。にもかかわらず、GPZが最近調査したところによると、大手ベンダー全社が、これらのパッチをリリースしていなかった。
GPZは独自のポリシーに基づき、公開を控えていた5つのレポートの一般アクセスを可能にした。つまり望めば誰もが必要な情報の大半を入手し、最新のAndroidスマホに影響を与えるこの脆弱性を突くエクスプロイトを作成できるようになるのだ。
https://japan.zdnet.com/article/35196613/
2 : 2022/12/01(木) 11:41:03.30 ID:XbHnF6VGd: 放置ダメ
3 : 2022/12/01(木) 11:41:13.26 ID:XbHnF6VGd: 放置危ない
4 : 2022/12/01(木) 11:41:49.63 ID:EmUtBiUv0: 脆弱性放置するGoogleをAndroidから排除しろ
6 : 2022/12/01(木) 11:42:12.58 ID:b8oxka+ld: 部署間の連携がなってないw
7 : 2022/12/01(木) 11:42:21.68 ID:Tjhap5tV0: ジャップAndroidなんか殆ど更新されてないだろ
9 : 2022/12/01(木) 11:43:29.80 ID:bOdMZkxW0: ギャグかな？
10 : 2022/12/01(木) 11:43:50.07 ID:J2r5VD2j0: Android 8の頃に発表された分離方式（名前忘れた）はあれ結局機能してんの？
相変わらずにしか見えんのだけど
24 : 2022/12/01(木) 11:47:31.39 ID:QSkSoj/q0: >>10
してる
他機種向けに作られたカスタムROMのソース拾ってきて自分の機種に簡単に使い回せる
11 : 2022/12/01(木) 11:43:55.31 ID:+QySLl0W0: 企業でAndroid使ってるとこヤバいな、
30 : 2022/12/01(木) 11:48:49.02 ID:tRj9qU4jM: >>11
先ずは週に1回とかのバイトでいいから働いて世の中見てみなさい
13 : 2022/12/01(木) 11:44:50.89 ID:CWFN/ziH0: 警告したGoogleと警告されたグーグルは別の会社なの？
14 : 2022/12/01(木) 11:44:52.18 ID:xy0/k4030: Googleがグーグルを指摘
15 : 2022/12/01(木) 11:44:53.55 ID:Yirdwsh80: ん？
16 : 2022/12/01(木) 11:45:27.12 ID:F8CXStT60: Googleとかいうクソ会社最低だなAndroidからハブろうぜ
17 : 2022/12/01(木) 11:45:40.38 ID:U8tecsgT0: 自分トコから直せや
18 : 2022/12/01(木) 11:45:43.75 ID:4sgUO00e0: Pixelのこと？
19 : 2022/12/01(木) 11:45:56.19 ID:Z41feIVJ0: Androidのコア部分はメーカーではなくGoogleがアップデートさせるみたいな方法は取れないのかね
アップデートというかそのバージョンのセキュリティパッチ
33 : 2022/12/01(木) 11:51:32.29 ID:Tjhap5tV0: >>19
ハードやドライバはメーカー側の責任だからGoogleはやりたがらないだろうね
でもGoogleはやるべきだわな
WindowsでさえMSが必死こいてドライバかき集めて提供するようになって
ユーザがドライバ云々で騒ぐことがめっきり減ったし
20 : 2022/12/01(木) 11:46:02.13 ID:g2H0kfAaa: そもそもAndroidが全機種更新できるようにしろよ
21 : 2022/12/01(木) 11:46:09.07 ID:Nlp4ZJ0YH: dimensityとかいう謎チップか
22 : 2022/12/01(木) 11:46:18.67 ID:Stt2ssWRM: グーグルがグーグルに警告！？
23 : 2022/12/01(木) 11:46:21.49 ID:dbhzwPntr: Googleさん！？マズイですよ！！
25 : 2022/12/01(木) 11:47:34.01 ID:U7wiCqhC: 最長でも90日以内のアップデート提供が義務づけられる、Android Enterprise Recmendded準拠と謳っておいて
アップデートぶん投げるクソベンダーがのうのうとしているくらい、有名無実化してるからな…
26 : 2022/12/01(木) 11:47:44.69 ID:8Q4MbDVKa: googleも一枚岩ではないからな
27 : 2022/12/01(木) 11:48:33.65 ID:0XvJuDdld: ケンモメンがジャップ連呼するようなもんだろ
28 : 2022/12/01(木) 11:48:36.45 ID:F1bnpSwm0: スペックに問題なければ最新Ver.OSへのアプデをしてくれれば良いだけの話なんよ
29 : 2022/12/01(木) 11:48:43.12 ID:uBnPz6pz0: Googleが売ってるやつですら脆弱性放置なのかよ
31 : 2022/12/01(木) 11:49:35.34 ID:bWLusXLUa: 野党は与党の足を引っ張らないで！
32 : 2022/12/01(木) 11:50:37.21 ID:juAcUqOm0: ＯＳが重すぎ
余計な事ばっかしやがって
34 : 2022/12/01(木) 11:51:34.65 ID:gneiKQ3r0: 実害ないんだから別にしなくてもいいじゃん
なんでもかんでも可能性とか恐れとかゆってるのはもうビョーキだわ
35 : 2022/12/01(木) 11:51:37.48 ID:j+iS/vOF0: これは見事なブーメラン
36 : 2022/12/01(木) 11:51:59.90 ID:1Kp1lJB+0: 泥て窓と違ってドライバ当てる煩雑さから解放されるとおもてたけど違うのか
37 : 2022/12/01(木) 11:52:47.76 ID:6Iy+HR+60: 公認ウ●コロイド
39 : 2022/12/01(木) 11:53:52.17 ID:Ahfvqq+Qd: 直ってない端末のリスト出せよ
40 : 2022/12/01(木) 11:53:58.07 ID:jOBBeaxma: でもiPhoneのほうがガバガバだから
41 : 2022/12/01(木) 11:56:20.08 ID:3AES22cqM: えぇ？
日本のキャリア経由のスマホなんか、OSアップデート全くやってないでしょ