J2MEにBytecode検証の脆弱性 19
ストーリー by GetSet
携帯電話も脆弱性が気になる昨今 部門より
携帯電話も脆弱性が気になる昨今 部門より
jbeef曰く、"ポーランドのPoznan Supercomputing and Networking CenterのAdam Gowdiak氏が22日にBUGTRAQに投稿した記事によると、携帯電話などのJava VMとして使われているJava 2 Micro Editionに、bytecode verifierの2つの検証漏れの脆弱性があり、型の安全性とメモリの安全性が損なわれるという。その結果として携帯電話の記憶データやOSの機能にアクセスできるといい、実際にNokia DCT4について検証したところ、アドレス帳を読み出したり、フラッシュメモリを書き換えたり、コードをインストールしたりできたそうだ。
ただ、同氏は、型やメモリの安全性を破っても、特定の携帯電話機種について悪意ある動作をさせるには、そのOSの内部構造に関する深い知識が必要であり、そう簡単なことではないとしている。
同氏は、Sun Microsystemsからこの件について公表する予定はないとの情報を得たため、BUGTRAQで周知することにしたとしており、来年の第一四半期ごろに、詳細情報(機種固有の情報を含む)についての研究論文を発表する予定だという。
この件について、ITmediaの23日の速報記事が、日本の機種の状況について、「なお、ドコモ、KDDI、J-フォンのJavaアプリケーションはいずれもJ2MEをベースにしている」と伝えているが、この脆弱性がそれらの機種に与える影響はまだ明らかになっていない。
なお、回避策は、信頼できないサイトが配布しているJavaアプリケーションをインストールしないことである。"
う~んと。 (スコア:2, 興味深い)
いつかは起こると思っていた問題だけに興味深く思っています。問題が広範囲だとしても内部構造がわからないと、というのはそのとおりです。規格が公表されていない機種で悪用するのはいろいろと難しいでしょうね。できるとしたメモリクリアやクラッシュの誘発くらいでしょうか。
既存の携帯電話に問題があるとすれば今後のキャリア各社の対応に興味があるところです。
P.S.
現在地震にオロオロしてます;;
Re:う~んと。 (スコア:3, 参考になる)
Re:う~んと。 (スコア:1, 参考になる)
今後の展開に注目していきたいと思います。
P.S.
揺れてます、揺れてます。いつまで揺れるのでしょうか T_T
Re:う~んと。 (スコア:1, 興味深い)
Re:う~んと。 (スコア:2, 参考になる)
Re:う~んと。 (スコア:0)
Aplix (スコア:1, 参考になる)
ややこしいのは、Applixという米国の会社がいて、Javaで書かれたアプリケーションを売っていることです。
アプリックスのホームページによると"アプリックスは米Sun Microsystems,Inc.の正規ライセンシであり、標準Javaのオリジナルのソースコードを使っています。"とのことなので、 JBlendのVM部はSunのVMの高速化改造版のようですね
[aplix.co.jp]
Re:Aplix (スコア:0)
ITmediaにも (スコア:1)
でてますね。 [itmedia.co.jp]
そろそろ携帯キャリアとかメーカのプレスリリースが読みたいぞ、と。
J-フォン? (スコア:0, 余計なもの)
vodafoneなら知ってるけどねぇ?
Re:J-フォン? (スコア:1)
実装したのはJ-PHONE時代ですからね。
とか言って許してあげようよ。 まだまだ、J-PHONEのイメージが強いのか、ライターの使っている携帯電話がJ-PHONEなだけなのか...。
かくいう私も、メールアドレスは@jp-X.ne.jpと言いそうになる今日この頃。
Re:J-フォン? (スコア:0)
Re:J-フォン? (スコア:0)
Re:セクションローカル? (スコア:0)
そして./j的にはこんなミーハーなネタはセクションローカルだったとしても問題ない。
Re:セクションローカル? (スコア:0, オフトピック)
a) 3日ぶり
b) 3年ぶり
c) 前回いつ聞いたか覚えていない
---- 末は社長か懲戒免職 なかむらまさよし
Re:セクションローカル? (スコア:0)