В драйвере win32k.sys опять проблема
На первый взгляд может показаться, что компания Google поступила безответственно и нарушила IT-этикет, не дав Microsoft времени на исправление бага. Специалисты Google Threat Analysis Group опубликовали факт наличия опасной уязвимости в Windows всего через 10 дней после того, как сообщили о ней в Microsoft. У редмондской компании просто физически не было времени, чтобы проверить баг, протестировать его на всех конфигурациях, подготовить патч, протестировать его на всех конфигурациях — и выкатить обновление в Windows Update. Уязвимость до сих пор не закрыта.
Но есть один нюанс. Как и во многих других случаях, обнаруженная уязвимость уже активно эксплуатировалась хакерами. На самом деле большинство закрываемых уязвимостей эксплуатируются злоумышленниками до того, как выходят патчи. Так что действия Google вполне уместны, учитывая высокую опасность найденного бага. Эти действия только заставят Microsoft шевелиться и выпустить патч быстрее, чем они могли бы сделать это без публичного «скандала».
По регламенту Google Threat Analysis Group, срок публикации информации об активно эксплуатируемых уязвимостях составляет 7 дней. Можно сказать, что в данном случае компании Microsoft дали поблажку.
Сведения о ранее неизвестных 0-day уязвимостях в продуктах Microsoft и Adobe были отправлены в эти компании 21 октября 2016 года. Компания Adobe обновила Flash 26 октября 2016 года (патч для CVE-2016-7855). Это обновление доступно через систему автоматического обновления Adobe и автообновление Chrome. Компания Microsoft не закрыла дыру до сих пор.
Google сообщает некоторые детали. Речь идёт об уязвимости с повышением привилегий в драйвере ядре Windows, позволяющей выйти из песочницы. Она срабатывает с помощью специально сформированного системного вызова NtSetWindowLongPtr() от драйвера win32k.sys, который устанавливает индекс GWLP_ID в значение WS_CHILD для окна с дескриптором GWL_STYLE.
Чтобы предотвратить эксплуатацию этой уязвимости до выпуска патча, песочница Chrome теперь блокирует системные вызовы win32k.sys с помощью процедуры локдауна win32k.sys под Windows 10. Таким образом выход из песочницы невозможен.
Компания Google призывает пользователей проверить нормальную работу систем автоматического обновления и убедиться, что Flash обновлён до последней версии — вручную или автоматически. И сразу же установить свежий патч для Windows, как только он станет доступен.
Судя по всему, данная уязвимость актуальна только для драйвера ядра в Windows 10. В то же время, Adobe Flash Player был уязвим под всеми версиями Windows (7, 8 и 10), а также под Linux. Уязвимость CVE-2016-7855 также присутствует в Adobe Flash Player Desktop Runtime 23.0.0.185 и более ранних версиях под Windows и Macintosh. Для эксплуатации в Windows 10 требуется непропатченный Flash Player.
Adobe сработала очень быстро, потому что уязвимость уже активно использовалась в рабочих зловредах.
Компания Google не первый раз разглашает информацию о незакрытых уязвимостях в Windows. То же самое она сделала в прошлом году, за что её подвергли критике коллеги из Microsoft. Якобы такие действия подвергают опасности миллионы пользователей Windows. В тот раз ситуация была даже интереснее, потому что Microsoft специально просила Google подождать ещё несколько дней с разглашением — дать им время выпустить патч для Windows 8.1, но Google не отступилась от принципов.
Кажется, что у двух компаний просто разные взгляды на проблему. Google считает, что информирование пользователей об опасности только повышает общую безопасность и заставит раньше выпустить патч. Microsoft считает, что незачем выносить грязное бельё на публику. Сейчас Microsoft прокомментировала в таком же стиле: «Мы считаем правильным координацию действий при разглашении информации, а сегодняшний поступок Google может подвергнуть пользователей потенциальному риску».
За последние несколько месяцев это уже третья уязвимость с эскалацией привилегий в win32k.sys: предыдущие патчи выпускались в июне и августе.
По сравнению с Microsoft, у компании Google как будто более строгие требования к безопасности. Понятно, что во всех браузерах примерно одинаковое количество уязвимостей. Но есть разница в том, как компания-разработчик относится к таким вопросам. Политика Google основана на изначальной установке на существование уязвимостей. Исходя из этого, ставится задача как можно более затруднить их эксплуатацию.
Например, статистика за 2015-2016 годы показывает минимальное количество уязвимостей у Edge и Safari: 134 и 191, соответственно. В то же время у IE и Chrome найдено по 346. Но оцените степень опасности этих уязвимостей. У Edge уязвимости на исполнение кода — 74 (55,22% от общего количества), у IE — 239 (69,08%), у Safari — 132 (69,11%). В то время как у Chrome — всего десять штук за два года, из них восемь в 2015 году и две в 2016 году (2,89% от общего количества).
Полная версия таблицы. Примечание: в таблице учтены найденные уязвимости во всех версиях браузеров
Патч для последней уязвимости в Windows должен выйти в ближайшее время.
Комментарии (85)
Cheater
01.11.2016 14:56+11У MS с бизнес-этикой у самих большие проблемы, но эта их претензия абсолютно справедлива.
Одно дело, когда о 0-day уязвимости знают, скажем 1000 злоумышленников за счёт общения в своей среде (и то такую информацию выгоднее придерживать у себя или торговать ей). И совсем другое — когда о ней знает чуть ли не весь IT мир, патча нет, а до многих персональных Win машин он и не дойдёт даже когда будет готов. Google конечно имеет полное право информировать MS согласно своим представлениям о сроках, но такой подход — палка о 2 концах. Получается, если я, скажем, обнаружу уязвимость в Chrome/Chromium, то, аналогично Google, я имею полное моральное право выложить эту информацию в сеть за такое время, которое мне диктуют МОИ представления о сроках? ОК, мои правила говорят, что на патч надо отводить, скажем, 1 час.)) Отправляю письмо в гугл и через час пощу новость на хабр, slashdot, reddit ит.д., а чо, пускай поторопятся с патчем. Гугл будет выпускать патч, скажем, сутки-двое. За это время мошенники поимеют несколько десятков тысяч экземпляров Chrome/Chromium, не говоря уже о том, что не каждый экземпляр регулярно обновляется и эксплойт на такие экземпляры будет действовать пока пользователь не обновит браузер.
acmnu
01.11.2016 15:50Подозреваю, что это почти единственный способ заставить большие компании работать быстро.
К слову сказать в некоторых дистрибах Linux патчи в краеугольные проекты (openssl например) умудряются принять за несколько часов. Уж не знаю как они это делают. Может манагеров меньше, а технарей больше.
LifeKILLED
01.11.2016 16:15+1Если Гугл будет искать уязвимости Микрософт, а Микрософт будет искать уязвимости в Гугл, то ненависть кошки с собакой постепенно перерастёт в любовь, конкуренты станут партнёрами, воцарится мир во всём мире, мы получим две самые стабильные операционные системы во вселенной…
waverunner
02.11.2016 12:56вы серьезно допускаете, что весь остальной IT мир, кроме кучки тру-хакеров, способен использовать 0-day уязвимости?
Cheater
02.11.2016 14:02Использовать — нет, а вот скачать и использовать публично доступный эксплойт большого ума не надо.
waverunner
02.11.2016 14:32Соглашусь, «любопытные Варвары» много чего могут натворить даже без злого умысла
Danov
01.11.2016 14:57-4Уже несколько лет живу без Flash. Выключаю сразу после установки OS. Особых проблем не заметил. Всем рекомендую. Adobe Flash — кладезь неоткрытых дыр. Похоже, что латая одну дыру они создают еще несколько. Бизнес такой.
FSA
01.11.2016 17:11Ну если идти дальше, что FreeBSD (да и любая BSD) самая безопасная система. Там Flash вообще нативного нет.
sumanai
01.11.2016 16:29-2Flash
Я у себя на XP его давно удалил. Что делать в случае потенциального обновления на десятку, где он вшит в ОС, я не знаю. Отключению в настройках не доверяю.
dartraiden
01.11.2016 17:38+2Чисто из любопытства: а как вы решаете проблему отсутствия обновлений для этой ОС? Удалить Flash, если он не нужен, это хорошо, но остаются же уязвимости в самой системе, для которой обновления официально уже не выпускаются. Про сборочки «от Васянов» (куда втыкаются обновления от Windows Embedded) я знаю, но они не подходят из-за той же проблемы доверия.
sumanai
01.11.2016 17:47-1У меня 64 битная версия, и обновления там до недавнего времени были от 2003 сервера.
Сейчас же просто связка ограниченного пользователя + SRP + EMET + ещё что-то там, что просто не даёт стороннему коду запустится.
Ну и XP x64 намного лучше защищена, чем 32 битная версия, в ней кроме самого факта изоляции 32 битного кода в подсистеме WOW64 ещё перенесены некоторые механизмы безопасности из Vista, из-за чего кстати есть проблема отсутствия песочниц под эту ОС- защита ядра на высоте, а вот API для них ещё нет, поэтому перехват некоторых операций походу невозможен.
theurs
02.11.2016 04:01Просто запрет на запуск программ из любых мест кроме папки виндоус и програм фаилс, и юзер не имеющий прав на запись в них. Даже антивирус не нужен.
perfect_genius
01.11.2016 18:54-4Вшит в десятку?! Ну почему эта ОС делает всё, чтобы я на неё не перешёл? :/
FeNUMe
01.11.2016 20:08С чего вы взяли что флеш вшит в десятку? Нет его в ней. Плюс для любителей «чистоты» есть официальные LTSB(Long Term Servicing Branch) дистрибутивы в которых выпилен нафиг весь хлам типа метро-приложений, кортаны и т.д. Единственный минус — обычным способом их не купить, но ведь у нас это мало кого волнует.
sumanai
01.11.2016 23:47С чего вы взяли что флеш вшит в десятку?
Да хоть в обновлениях, постоянно прилетает. Так же в Edge его можно только отключить.
Поройтесь в реестре там, или в официальном образе, узнаете много нового.sumanai
01.11.2016 23:52И вообще, флеш встроен в дистрибутив винды как минимум с XP, просто оттуда его можно удалить официальной утилитой. В десятке же она бодро откатывает прогресс-бар и делает вид, что удалила, а на деле всё на месте.
Am0ralist
01.11.2016 18:15+1Она бы так оперативно выпускала патчи для своего андроида. Ох, черт, у них же до сих пор 4.1-4.4 занимают более 50%, а не последняя 6.0 процентов 5 занимает, потому что все производители положили на обновления вообще.
Независимо от критичности всплывающих уязвимостей.
На месте MS я б хорошенько заплатил за то, чтоб парочку 0day к популярным версия андроида в паблик положить.tundrawolf_kiba
01.11.2016 19:30+1Ну для своего андроида кстати оперативно выпускают. Но вот вопрос — а сколько там процентов нексусов от общего числа смартфонов на андроиде? А вот у них все зависит от вендоров, которые обновления выпускают когда левая пятка зачешется. И мне кажется если бы хотели — гугл могли бы как-то повлиять на все это, но им похоже это не интересно на данный момент.
Am0ralist
01.11.2016 22:36Видимо именно поэтому линейку нексусов — всё?
tundrawolf_kiba
02.11.2016 01:39Ну я надеюсь Pixel они тоже будут регулярно обновлять. Но вот если бы это как-то распространить на все андроиды...
Xavius
01.11.2016 19:32+1Ну вообще «спасибо» за, то что 4.1-4-4 наиболее «популярные» надо сказать не Google, а Samsung, LG, другим популярным брендам и куче китайских производителей, которые считают выпуск обновлений для бюджетного сегмента уничижением своего достоинства. Справедливости ради, стоит заметить что на мой уже старенький Nexus 5 до сих пор раза 2 в месяц стабильно прилетают обновления (хотя 7 андроид под него так и не завезли, да).
Am0ralist
01.11.2016 22:17Да-да, то есть продавливать запреты на предустановку другого по и на выпуск форков андроида, и установку своих программ скопом и с обязательным козырным местом размещения иконок — на это у гугла влияния хватает, а вот на то, чтоб производители обязаны были поддерживать вменяемо модели — не могут.
Было бы желание. А его нет, зачем — если и так схавают с причмокиванием. Зато другим указывают, как они разрабатывать должны.Falstaff
01.11.2016 22:37Ну, там не одни производители завязаны. Скажем, телефон на старом чипсете, и новый Android на него не портировать — потому что драйвера в BSP доступны только в виде бинарников, а интерфейсы ядра изменились и нужен новый BSP. А производитель, какой-нибудь Qualcomm, не хочет ни портировать (потому что нерентабельно), ни давать исходники (потому что, говорит, коммерческая тайна). Я вот не знаю, есть ли у гугла соглашение с производителями чипсетов, и можно ли у них выжать по этому соглашению длительные сроки поддержки. Подозреваю что нет.
Am0ralist
01.11.2016 22:57+3Наивные вопросы:
Насколько «новый» Андроид? 4.0 и 4.1, 4.1 и 4.2, 4.2 и 4.3, 4.3 и 4.4 — каждый раз настолько разные ядра, что «ой всё»? И так уже десяток версий?
И как тогда винда XP умудрялась десяток лет обновляться не ловя каждую обновку мегатонны косяков с дровами (они были, да, но не поголовно же каждый серьезный раз, более того не каждый пользователь их выхватывал вообще за все время)? Ее разрабатывали более умные и предусмотрительные программисты? Или чипы и устройства всегда разрабатывали более ответственные разработчики?
А эти программисты гугла из прошивки в прошивку гуляют по одним и тем же граблям? Они мазохисты? Или им не хватает вменяемых архитекторов?
А почему периодически (для отдельных производителей зажигательных телефонов так вообще не редкость из-за их массовости) тогда альтернативные прошивки работают? У альтернативных людей есть альтернативные исходники?
Ах да, берем и показательно исключаем косячных разработчиков чипов из совместимых с гугл+плеймаркет по прежним заслугам. Ведь сейчас же производителя обязали выполнять минимальные требования. Да, вы можете делать на чем хотите, но с этими чипами — никакого вам плеймаркета. Что, резко найдется еще одна ОС, на которой можно клепать более-менее успешные смартфоны, которые будут покупать пользователи?Falstaff
01.11.2016 23:19В 4.2, по сравнению с 4.1, например, перешли с ядра 3.0.x на 3.4.x. Да и бинарная совместимость драйверов в ядре не священная корова, иногда ломается без шума, пыли и фанфар при выпуске нового ядра — есть такое дело.
С виндой сравнивать некорректно. Во-первых, мы говорим не о чипсете с кучей периферии на борту, а о процессоре и наборе более или менее стандартных шин. Во-вторых, я сомневаюсь, что на протяжении десяти лет ядро XP претерпевало большие изменения (на самом деле я подозреваю, что, если большие изменения кто-то бы и захотел, то их бы в том числе сдерживала бы необходимость ломать совместимость), система практически не развивалась. В третьих, и это то, что касается поддержки на более новых процессорах, мы говорим об альянсе MS — Intel, где царит нежная любовь и Intel делает для платформы Windows всё что угодно.
Про грабли — извините, не понял. Интерфейсы в основном в ядре. Гугл, конечно, делает вклад в ядро, но, думаю, на архитектуру и ABI не настолько большое влияние оказывает. Относительно альтернативных — ответил ниже. Да, иногда не хочет производитель, а иногда у людей прокатывает отреверсить бинарник, что-то смастерить, или выкатить с неработающей частью периферии. У компании не прокатит.
С тестом совместимости и чипами — там другая история, мы ведь про обновления сейчас говорим.
Am0ralist
01.11.2016 23:47> В 4.2, по сравнению с 4.1, например, перешли с ядра 3.0.x на 3.4.x.
Видимо после этого некоторые и надорвались, что даже до 4.2.2 не осилили выпустить обновлений, а только до 4.2.1. Хотя да, там явно было более глобальное изменение ядра, чем между 4.1 и 4.2, которое прошло гладко.
> Да и бинарная совместимость драйверов в ядре не священная корова, иногда ломается без шума, пыли и фанфар при выпуске нового ядра — есть такое дело.
Ребят, я б поверил, но если бы не одно но: 6.0 по распространенности только недавно превзошел 4.1, т.е. устройств 2012 года, которые с того момента не обновляются, а лишь ломаются. А 5.0 и 5.1 имеют куски в 16 и 19 процентов, то есть в сумме чуть больше 33% версии 4.4.
То есть по сути видно, что «обновление» происходит путем отмирания старых устройств и замена их на новые плюс увеличение количества пользователей со временем.
Это нельзя оправдать парой случаев, когда квалком там что либо не предоставил. Не получается. не сходятся с статистикой.Falstaff
02.11.2016 00:01Ну, никто и не говорит, что устройства не обновляются исключительно из-за несовместимости BSP и производителей чипсетов. Там целая куча факторов — и чипсеты, и технические (ушли люди, расширяться накладно) и маркетинговые (да, вот это то, о чём вы сетуете, жажда стяжательства и бизнес-соображения — устройства куплены и не производятся, обновления денег не принесёт) причины производителей, и долгие циклы подготовки обновлений, и проверка со стороны контролирующих органов (радиочастотная совместимость и прочее), и задержки операторов (в США операторские телефоны получают специальные прошивки от операторов, не от производителей, а там это популярный способ приобретать смартфон)… в общем, много всего.
Просто производитель чипсета — это один из возможных блокирующих факторов, в качестве примера. Поддержка железа на многое влияет. Личный пример — планшет имеет железо с поддержкой Bluetooth 4.0, но (по крайней мере на нашей территории) производитель не захотел обновлять драйвер, видимо, не стал связываться с Госсвязьнадзором и сертификацией. Cyanogen же поддерживает, но это значит, что с радиочастотной точки зрения устройство находится на нелегальном положении. Любители такое могут себе позволить, а компания — нет. Я думаю, таких случаев много.
Am0ralist
02.11.2016 00:20+3Ну вот и получается, что куча факторов, благодаря которым большая часть пользователей андроид НИКОГДА не получит критическое обновление от 0day уязвимости.
Не день, не два, не десять, не тридцать, не год. НИКОГДА.
А MSу они отвели 10 дней на исправление бага выпуск патча и его тщательное тестирование. Ведь под виндой же нет такой кучи факторов, как бесконечное множество конфигураций и драйверов, нет производителей, разработчики которых болт клали на правильную разработку драйверов и ПО.
Там же работают — сплошь маги и боги. В отличие от разработчиков Гугла.Falstaff
02.11.2016 00:27Почему не получит? Мы сейчас смешиваем в кучу обновления безопасности и обновления до новых версий. Патчи, относящиеся к безопасности, бэкпортируются в код старых версий, и производители их обычно охотнее и быстрее выпускают, нежели полноценный переход на следующую версию. Там несколько другая процедура, там версия ядра не обновляется. Ну и да, под виндой производителей нет, обновления централизованные (мы о системе же говорим, уязвимости в third-party драйверах — это отдельная песня).
Am0ralist
02.11.2016 00:47+3> Мы сейчас смешиваем в кучу обновления безопасности и обновления до новых версий.
ВЫ. Не «мы».
Я лично начал ровно с:
>> Она бы так оперативно выпускала патчи для своего андроида.
Окей, вы сейчас можете показать мне обновления безопасности Андроида, которые ставятся в обход выпуска новых прошивок производителем на версиях андроида, начиная с 4.0.
После чего спор автоматически прекращается, ибо вы мне пытаетесь доказать, что небо не синее, а синее, потому что оно синее.
И это не говоря уже о том, что вы, такое ощущение, модель линукса тащите в винду и по ней судите об обновлениях винды.Falstaff
02.11.2016 01:00Ну, это вы только что сказали, что пользователи никогда не получат обновления от уязвимостей. При этом вы изначально почему-то привязывали патчи безопасности к версиям (цитирую, «… у них же до сих пор 4.1-4.4 занимают...»). То есть смешиваете, да. Поэтому я и сказал, что для закрытия уязвимости не обязательно обновлять версию, это делается иначе — гугл закрывает уязвимость, бэкпортирует её в старый код (если он тоже уязвим) который посылал производителям, посылает им этот код, производители делают патч на его основе и рассылают его устройствам. Непонятно, откуда взялось «никогда».
Ну и, мне кажется, всё наоборот — вы пытаетесь судить об обновлениях андроида по модели Windows. XP в пример приводили, хотя обновляется она не так, там всё иначе.
tundrawolf_kiba
02.11.2016 01:57что пользователи никогда не получат обновления от уязвимостей.
На предыдущих своих устройствах(Sony Ericsson live with walkman и Sony Xperia SP) — регулярных патчей безопасности я не получал. Вот что попало на момент обновления прошивки до новой мажорной версии — то и получил. На текущем Asus ZenFone Max — изредка получаю, но их расписание судя по всему зависит от фаз луны и погоды на Марсе.
Falstaff
02.11.2016 02:18Ну так и уязвимости не по графику появляются и обнаруживаются, и не для всех устройств с одинаковой регулярностью (зависит от того, в каком компоненте уязвимость, есть ли вектор атаки). Для SP один патч был в сентябре 2013, через пять месяцев после релиза устройства.
tundrawolf_kiba
02.11.2016 19:18Было обновление до 4.3 в 2014-м, в начале года. А вот новость текущего года:
Фирма компьютерной безопасности FireEye опубликовала сообщение об уязвимости в чипах Qualcomm, которая позволяет злоумышленникам похитить все пользовательские данных со смартфонов на базе Android. Наиболее серьезные последствия возможны для владельцев телефонов с Android 4.3 и более ранними версиями.
Уязвимость появилась после выпуска Qualcomm набора программных интерфейсов для сетевого менеджера – демон netd. FireEye отмечает, что уязвимость существует с 2011 года. Она дает возможность стороннему приложение получить доступ к персональным данным, в том числе SMS и списку телефонных звонков.
Google уже выпустила заплатку 1 мая и сообщила, что на аппаратах Nexus нет такой проблемы. Однако многие Android-устройства не получают обновления ежемесячно.Falstaff
02.11.2016 20:31Да, по виду, прилично в лужу сели… В принципе, запатчить должно быть недолго, но если не торопятся — надо посмотреть, настолько ли всё критично, и можно ли реально организовать атаку. Я бы не удивился, узнав, что и их bouncer в магазине приложений, и сканнер, который в Play Services встроен, уже отлавливают приложения, которые лезут напрямую в потроха сервиса и обращаются к
{add|remove}UpstreamV6Interface()— вряд ли законопослушным приложениям такие фокусы нужны. Смартфоны без Play Store — вот этим совсем печально, да.
Но это, конечно, уже про особенности экосистемы, а не про обновления. В целом речь про то, что «не обновится до 4.4» не означает автоматически, что надежду на заплатки можно оставить.
tundrawolf_kiba
02.11.2016 21:43что надежду на заплатки можно оставить.
На самом деле можно оставить. Все версии ниже 5.0 — считаются устаревшими, следовательно — больше не поддерживаются. Заплаток для них не будет.(Хотя даже если были бы — не факт, что производитель их бы выпускал вслед за гуглом — потому что были и уязвимости в то время, когда 4.3 была еще актуальной, но сони — уже не выпускала новых патчей под нее). Обновиться до поддерживаемой версии — тоже невозможно. Единственный вариант — менять телефон.
Falstaff
03.11.2016 02:48Все версии ниже 5.0 — считаются устаревшими, следовательно — больше не поддерживаются.
А это официально? Просто на их странице написано, что официально патчи производителям предоставляются до 4.4 — «The Android security team currently provides patches for Android versions 4.4 (KitKat), 5.0 (Lollipop), 5.1 (Lollipop MR1), and 6.0 (Marshmallow).» Ну и, что будет делать производитель, а что нет — разговор отдельный. Речь изначально шла о том, что «не обновится до X.Y» и «не будут закрываться уязвимости» не эквивалентны, потому что заплатки бэкпортируются в старые версии.
tundrawolf_kiba
03.11.2016 14:13Да, ошибся, оказывается на 4.4 патчи еще приходят, посмотрел в вики, там не совсем точная инфа была… Вот только что все-таки делать с Sony Xperia SP? Там уже никак не обновиться, а ведь телефон не такой старый еще, и думаю многие им до сих пор пользуются.
Falstaff
03.11.2016 15:00Да, с Xperia SP печально, официально 4.3 уже за гранью… ну, разве что надеяться на то, что, если найдут совсем уж злобную уязвимость, то в порядке исключения закроют и на ?4.3 и отошлют патч Sony. Ну и сайдлоад теперь будет в группе риска. В оптимистичном случае, Bouncer и включённый сканер в Play Services будут много уязвимостей закрывать вне зависимости от прошивки.
tundrawolf_kiba
03.11.2016 15:08Но ведь это я единственный пример привел, а их каждый год находят несколько штук. И не только для 4.3. Да и сканер — это не панацея, 100 процентов он выловить не сможет. А против целенаправленной атаки — невозможность получения фикса == открытые двери. И эта ситуация на мой взгляд еще более грустна потому, что Гугл в принципе обладает ресурсами, чтобы заняться ее исправлением, но ему это не интересно.
Falstaff
03.11.2016 15:44Ну так надо посмотреть, которые из них можно закрыть сканером, а какие нет. Мы же говорим об известных уязвимостях, и не для всех из них вектор атаки смотрит наружу, в сеть. Что такое целенаправленная атака? Как она достигнет устройства пользователя? Просто вокруг полно крикливых заголовков «уязвимы миллионы устройств», а на поверку оказывается, что или реальную атаку сложно организовать, или от неё легко защититься, причём прямо в магазине приложений. (Сколько шума в своё время наделал duplicate apk entries — да, сама по себе просто ужасная дыра, а на деле, достаточно в Play Store всем .apk проверить директорию файлов.) В общем, я думаю, грустить не стоит — слишком часто уязвимость оказывается из разряда «… а шваброй дверь подпёр? — нет — ну вот, заходи и бери что хочешь!».
RussianNeuroMancer
08.11.2016 09:31> Насколько «новый» Андроид? 4.0 и 4.1, 4.1 и 4.2, 4.2 и 4.3, 4.3 и 4.4 — каждый раз настолько разные ядра, что «ой всё»? И так уже десяток версий?
Прочитайте, пожалуйста, вот эту статью:
https://medium.com/russian/почему-мой-телефон-не-обновится-до-нового-андроеда-e4cd5fa3fa85
Нижеследующее написано исходя из того, что вы её прочитали.
> Ее разрабатывали более умные и предусмотрительные программисты? Или чипы и устройства всегда разрабатывали более ответственные разработчики?
Дело в том, что разработка для десктопного железа и для embedded кардинально отличается. Наглядно описано по ссылке выше (в десктопном железе тоже адовые проблемы, но они менее адовые) а от себя добавлю, что когда Intel сделала свой первый действительно популярный мобильный SoC (Intel BayTrail) — с драйверами там вышло ровно то же самое, что написано по ссылке (Android только 4.4). Хотя, казалось бы, это обычный Intel Atom, какие там могут быть сюрпризы? Сюрпризы оказались в тоннах errata, видимо очень спешили выпустить чип на рынок. Под эти errata кое-как напихали хаков, в 2014 выкатили драйвера для Windows и исходники Linux с хаками, причём такими что о включении выложенного в mainline и речи быть не может. Windows-драйвера глючат просто невыносимо, некоторые энтузиасты из Intel пытаются причесать поддержку BayTrail в современных версиях Linux, но ими до сих не починены зависания при уходе в C-State глубже C1 и в частности на Dell Venue 8 Pro 5830 приходиться выбирать между рабочим звуком и рабочим ждущим режимом (но звук теперь хотя бы работает).
> А эти программисты гугла из прошивки в прошивку гуляют по одним и тем же граблям? Они мазохисты? Или им не хватает вменяемых архитекторов?
Собственно, к чему это я всё. Как видите, Android работает поверх гораздо более шаткого основания, чем Windows. Когда Windows работает поверх того же шаткого основания — насколько я могу судить по имеющемуся у меня планшету на базе Intel BayTrail, глючит она безбожно. Просто пара примеров: с зимнего обновления видеодрайвера по летнее (единственное из драйверов BayTrail, что регулярно обновляется) выход из ждущего режима срабатывал хорошо если хоты бы каждый второй-третий раз, а пробуждение по RTC-таймеру (будильник) работает с такой же частотой и сейчас (то есть это планшет на котором стабильно не работает даже будильник). Есть ещё пара десятков аналогичных глобальных глюков, но суть вы уловили. То есть если бы Android обновлялся работая со старыми драйверами, как Windows, я думаю из-за этих кривых драйверов проблем была бы куча, причём проблем совершенно недопустимых на consumer-девайсах. Так сейчас исходники с хаками собирают и оно хоть как-то работает с одной версией Android. Это, конечно же, плохо, и именно поэтому я не покупаю устройства на Android, но альтернатива оказывается ещё хуже — весьма вероятно, что в итоге я поставлю на свой планшет Android 4.4 вместо Windows 10, так от него будет хоть какая-то польза, устройством хотя бы станет можно пользоваться, понимаете?
> А почему периодически (для отдельных производителей зажигательных телефонов так вообще не редкость из-за их массовости) тогда альтернативные прошивки работают? У альтернативных людей есть альтернативные исходники?
У них есть время и желание портировать новые исходники с донора (железка с тем же SoC и схожей периферией) для которого Android обновили, или напихать хаков в исходники Linux от старой версии Android самим (если исходники вообще доступны, что случается далеко не всегда). Просьба к Falstaff меня поправить, если я что-то сказал не так.
> Ах да, берем и показательно исключаем косячных разработчиков чипов из совместимых с гугл+плеймаркет по прежним заслугам.
Тут видите какая штука, если так сделать, то в белом списке останутся только AMD и VIA, и то лишь потому, что на базе их SoC не производят устройств с Android.
В итоге, в целом, проблема — в драйверах. В ситуации с драйверами виноваты вендоры SoC (включая Intel) но Microsoft не принято пинать за кривые драйвера. Однако, почему-то если кривые драйвера делают для Linux, то виноваты оказываются разработчики Linux, и те кто собирают свою ОС на базе Linux — как вы сейчас пинаете Google. Конечно можно сказать, что Google могут попытаться изменить положение, но я всё же сделаю ставку на то, что тогда Samsung спрыгнет на Tizen, кто-то ещё на Sailfish, и так далее. Вот Google и не пытаются рисковать. Удивительно, что они вообще тему с набором тестов смогли протащить.Am0ralist
08.11.2016 11:08И как весь этот текст отрицает вину гугла за то, что он никак не предусмотрел обновления безопасности своего «АНДРОЕДА» (из статьи фрика выше)? Зато другим указывает, как быстро те должны писать заплатки.
Еще раз, открываете график долей андроида и долго на него медитируете, пока до вас не дойдет суть претензий о том, что гугл клал большой болт на безопасность своих пользователей, ведь процентов 90 устройств никогда не получит обновление безопасности от найденных 0-day.
НИ-КОГ-ДА.
И да, повторюсь, когда последняя оф.прошивка 4.2.1. Не 4.2.2, а 4.2.1 — то меня лично гложут сомнения в глобальности различия между оными, которые можно спихнуть на дрова.
И уж тем более меня это гложет, если люди ставят туда кастомные 5.0 и те работают (не конкретно мой асус, внизу пример приводили)
Ну и да, вы сами себе противоречите:
> У них есть время и желание портировать новые исходники с донора (железка с тем же SoC и схожей периферией) для которого Android обновили
ВСЁ, этим всё сказано. У людей есть желание, у корпораций — хрен. Или вы будете утверждать, что в одном случае производитель дал дрова, а в другом — нет?
> Конечно можно сказать, что Google могут попытаться изменить положение, но я всё же сделаю ставку на то, что тогда Samsung спрыгнет на Tizen, кто-то ещё на Sailfish, и так далее.
И вылетят с рынка все, кроме, может быть, самсунгов. Пример с Винфонами — показателен, хотя у МС возможностей куда больше, чем у производителей смарфтонов. Но с учетом криворукости инженеров и программистов самсунга — в итоге и они бы вылетели на радость Эйплу.
> Удивительно, что они вообще тему с набором тестов смогли протащить.
Гугл — монополист. Этим все сказано. Он что угодно может. Плеймаркет хотите? Выполняйте.RussianNeuroMancer
09.11.2016 13:19> И как весь этот текст отрицает вину гугла за то, что он никак не предусмотрел обновления безопасности своего «АНДРОЕДА» (из статьи фрика выше)?
При желании кого угодно можно обвинить в чём угодно. Например, почему Microsoft не заставляют вендоров железа обновить драйвера для лучшей совместимости с Windows 10? Под ними же весь рынок. Вон у Intel нужно драйвер GMA 3600 из нового DDK от ImgTek пересобрать, чтобы композитор Win8/10 не падал, так даже этого не делают.
> Гугл — монополист. Этим все сказано. Он что угодно может. Плеймаркет хотите? Выполняйте.
Microsoft — монополист. Этим все сказано. Они что угодно могут. Размещение в Windows Store хотите? Пишите UWP-приложения. Ан нет, чот почему-то всё равно не пишут, а если пишут, то на выходе какое-то кривое говно получается, на которое потом забивают и лежит приложение с отзывами по которым видно, что оно уже как год не работает.
> Еще раз, открываете график долей андроида и долго на него медитируете, пока до вас не дойдет суть претензий о том, что гугл клал большой болт на безопасность своих пользователей, ведь процентов 90 устройств никогда не получит обновление безопасности от найденных 0-day.
НИ-КОГ-ДА.
И это очень плохо, полностью согласен, поэтому я и не покупаю устройства на Android.
> И уж тем более меня это гложет, если люди ставят туда кастомные 5.0 и те работают (не конкретно мой асус, внизу пример приводили)
Я и сам шил 6.0 на смартфон, который исходно был с 4.1. Возможно для него и 7.1 соберут. Что это доказывает?
> ВСЁ, этим всё сказано. У людей есть желание, у корпораций — хрен. Или вы будете утверждать, что в одном случае производитель дал дрова, а в другом — нет?
Зачастую люди над краденными и отреверсенными сорцами работают. Дальше-то что?
> И вылетят с рынка все, кроме, может быть, самсунгов.
С чего вы взяли? На Jolla например стоит эмулятор для запуска APK на SailfishOS и из коробки Яндекс.Store. На китайских Windows-планшетах тоже часто из коробки эмуляторы Android стоят.
Если индустрии придётся расставаться с Google из-за требований расходящихся с принятыми в индустрии практиками, это будет обидно, досадно, но какой-то альтернативный магазин станет самым популярным, и только (либо в России будет популярен магазин Яндекса, в Китае какой-то свой, и так далее). И не такие с пьедестала слетали.
Смотрите выше пример с Microsoft — ни повлиять на ситуацию с драйверами, ни заставить всех писать UWP-приложения у них де-факто не получается, не смотря на статус почти что монополиста.
Вы поймите, я в целом-то разделяю вашу печаль по поводу обновлений. И знаю, что с технической точки зрения принципиально задача решаема, но ваша ошибка в том, что вы переоцениваете рычаги давления Google на индустрию. Решение тут возможно на другом уровне. Например американские и европейские законы обязывают соблюдать GPL, поэтому если вендор выпускает смартфон на этих рынках — они добывают у ODM исходники и выкладывают их у себя. Тяжело, со крипом, но выкладывают. Если бы вендоров законодательно обязали поддерживать свои аппараты какой-то определённый срок и регламентировали процесс выпуска заплаток (например, месяц на тестирование и распространение обновления со дня доступности исходного кода исправления; следует учитывать шаткость основания, о которой я писал в предыдущем сообщении) они бы скрипя зубами эти требования выполнили.
acDev
02.11.2016 13:16… потому что драйвера в BSP доступны только в виде бинарников, а интерфейсы ядра изменились и нужен новый BSP
Тут вы правы. В китайском инете можно скачать исходники BSP для Qualcomm и MTK (китайские разрабы очень безолаберно относятся к безопасности).
А производитель, какой-нибудь Qualcomm, не хочет ни портировать (потому что нерентабельно)
Не совсем правы. К примеру, Qualcomm до сих пор поддерживает старую платформу msm8x26. Месяц назад HTC даже выпустила новый телефон на чипе msm8926, релиз которого был аж в 2013 году. Причём там используются исходники BSP для 6-го дройда.
Просто эти самые исходники Qualcomm продаёт вендорам. Только крупные вендоры (HTC, Samsung, Sony, etc) могут позволить себе покупать новые сорцы ради обновления дройда на бюджетных устройствах.
… ни давать исходники (потому что, говорит, коммерческая тайна)
Всё то, что мне удалось слить с китайского инета, ищите тут: http://syshwid.blogspot.ru/2016/08/build-qualcomm-modem.htmlFalstaff
02.11.2016 13:57Спасибо за ссылку. :) Доброе дело делаете. Добавлю блог в закладки.
В целом да, конкретные условия, на которых Qualcomm предоставляет исходники, я не знал, но понятно, что крупные деньги и неразглашение (у самого был опыт только с Mediatek: мы обнюхивали их MT2502 на предмет применения в одном wearable, но столкнулись с той же проблемой — чтобы получить нормальную документацию и сорцы, нужно соглашение о партнёрстве, подписка и ощутимые суммы, иначе он остаётся ардуиноподобной платформой для прототипирования).
Из той истории, которая была на слуху (с Qualcomm и отсутствием поддержки аудио в новых сборках цианогена) я понял, что бинарника вообще не существовало, иначе бы вытащили у другого производителя. Вот ссылку уже не могу найти, давно дело было.
RussianNeuroMancer
09.11.2016 13:25Если вам не сложно, поясните, как Qualcomm и со-товарищи умудряются уходить от ответственности за нарушение GPLv2 в США и ЕС? Ведь NDA которые они накладывают на GPLv2-сорцы модифицированных ядер по сути незаконны, разве нет? Или они распространяют не исходники ядра, а патч-сеты, как OpenWRT?
Aingis
01.11.2016 22:03+1Почему андроиды никогда не будут обновляться до новой версии:
https://medium.com/russian/почему-мой-телефон-не-обновится-до-нового-андроеда-e4cd5fa3fa85 (немного мата)
…Этот набор потом вместе с девбордами раздаётся компаниям, достаточно безумным для того, чтобы делать телефоны на андроеде. Люди, которые делают ваш телефон, никогда не увидят исходных кодов драйверов из этого набора, потому что показывать их было бы очень стыдно. Чтобы программисты не перевешались на JTAG-шнурках от стыда, на помощь им приходит маркетинговое отделение и говорит, что исходные коды не раскрываются, потому что содержат большую коммерческую тайну и посмотрев в них можно в принципе понять, как работают некоторые вещи в микросхеме. Это на самом деле никому … не надо?—?другие производители тоже не имеют понятия, как работают и их собственные микросхемы, они … [никогда не захотят] разбираться ещё и с чужими…
Am0ralist
01.11.2016 22:31+1В который раз мне это встречается. И каждый раз я поражаюсь: а как же на многие устройства таки не оф.прошивки ставятся и работают? Или не работают только вайфай там или 3G, которые до этого на паре версий работали без нареканий? То есть у людей со стороны — получилось, а у корпорации — нет? Может, как в том анекдоте: «Не, если сажать, тогда расти будет»?
Более того, если микросхема работала, то сказки, что драйверы писать для нее так сложно-так сложно — не надо рассказывать. По одной простой причине: винда умудряется уже сколько десятков лет работать на каком многообразии железок? И сколько раз там менялись внутренности, но дрова даже на старые вещи подчас обновляли. Или заводились на новой. У интела вон даже заплатки на процы получалось делать.
А тут с 4.1 до 4.2 типа обновить не могут, ага. Видимо в гугле настолько криворукие разрабы, что они каждый раз все ломают и переделывают начисто, что поддерживать железо становится непосильным трудом пятиста десятков инженеров на протяжении двухсот десятков лет.
Просто всем — плевать на пользователей и их безопасность. Во главе с гуглом, кстати. И поведение из статьи — это так же хорошо демонстрирует. Потому что выкладывание 0day в широкий доступ — это не забота о пользователях, это подговнить конкуренту.Falstaff
01.11.2016 22:42Во-первых, с точки зрения корпорации, "не работает 3G" — это эквивалентно "не работает устройство". Они-то обещали телефон с 3G пользователю, обязаны соответствовать. Во-вторых, у любителей тоже не всегда работает (был вроде на слуху случай со старым чипсетом от Qualcomm, там на модах не работал звук — Qualcomm не захотел предоставлять бинарный драйвер, совместимый с новым андроидом). В-третьих, что-то можно сделать реверс-инженерингом, но если пара товарищей в подвале пропатчат драйвер и им за это, наверное, ничего не будет, то производителя за такое производитель чипсета потащит в суд, потому что нарушение копирайта. Да и вопрос-то не к гуглу. Новые ядра Linux, новые интерфейсы.
Am0ralist
01.11.2016 23:24Во-первых, в конкретном планшете помог с 3G — «PPP Widget». Не работал 3G по умолчанию именно из прошивки. В более новых версиях андроида автор виджета на модель планшета забил.
Во-вторых. Для того, что бы на модель можно было поставить пакет с плеймаркетом, она должна удовлетворять условиям гугла. Гугл берет и говорит: на таких то чипах велкам пилить самим форки, а плеймаркет — хрен вам. Да, скандальчик будет нехилый, тот же квалком обиделся бы, но без пользователей он свои чипы мог бы засунуть только в определенное место. себе.
Это если бы ГУГЛ был ПРИНЦИПИАЛЬНЫМ.
Ну и в-третьих, своеобразным обновлением известна как раз фирма, которая и свои чипы использует, а не только квалкома.
Да и вообще, я лично на примере тегры 3, на которой другая фирма вообще-то свои топы типа выпустила. так что.
И если топовые игроки рынка типа не могут договориться с поставщиками — то это значит лишь «не очень и хотелось». И ничего больше.
И в четвертых. Если ситуация стабильно повторяется на каждой версии так, то это, опять же, значит только то, что игроков рынка она устраивает. Ничего более.Falstaff
01.11.2016 23:48Не знаком с PPP Widget, честно, но могу строить предположения. Может, патчил драйвер? Устанавливал другой, полученный после реверсинга? Тогда вопрос в легальной плоскости, quod non decet bovem...
То, что гугл забанил чьи-то чипы — это уже не про обновления, давайте уж только про то, что касается обновлений, а то запутаемся. Там-то не обновляться запретили, а вообще выпускать на них андроид-устройства (ну то есть называть то, что на них крутится, андроидом). Опять же, Qualcomm — контрактный производитель, он себе нишу найдёт, скандалить с ним себе дороже.
Про эту фирму (корейская такая, мы про неё говорим?) вообще разговор особый, там свои причуды, нам не понять. У них свои понятия о маркетинге, там да, они скорее всего просто не хотят поддерживать весь свой старый зоопарк (а гуглу ещё в те времена было не с руки на них давить, они им единолично рыночное превосходство обеспечивали). С тегрой — вот там как раз пример упрямства производителя, они, например, сделали первую тегру а потом забыли о ней как о страшном сне — и никаких обновлений. (Если что, да, я тоже столкнулся, у меня Nexus 7 первого поколения.) Причём конкретно гугл с ними совместимость не ломал, он взял новое ядро, а она там сломана. Что делать? Ну, Линус делает что может — даже в интервью прямо перед камерой послал NVidia на три буквы (четыре, если формально считать). И всё равно не помогло.
Вот с последним соглашусь даже без вопросов — да, всех всё устраивает. Если свалить в кучу пользовательскую удовлетворённость, усилия на исправление ситуации с обновлениями, интересы инвесторов, доходы и всё такое — получаем баланс. Жизнь такая. :)
Am0ralist
01.11.2016 23:54> То, что гугл забанил чьи-то чипы
Он такого не делал (или я не знаю). Он сейчас просто требует соответствовать определенному списку, дабы устройство не позорили экосистему и могло вообще работать.
Почему бы там не вычеркнуть тех, кто так подставляет?
Если бы Гугл был принципиальным.
> Qualcomm — контрактный производитель, он себе нишу найдёт, скандалить с ним себе дороже.
То ли дело пнуть конкурента Майкрософта и подставить всех пользователей?
> Вот с последним соглашусь даже без вопросов — да, всех всё устраивает.
Вот тогда и надо называть «принципиальность» Гугла тем, что она есть, а именно: ДВУЛИЧНОСТЬЮ и ПОДЛОСТЬЮ.
Тогда картинка сложится идеально.Falstaff
02.11.2016 00:13Я тоже не знаю, первый раз от вас услышал, пошёл посмотреть, что за манифест такой. Так это вообще из другой оперы — это список, который говорит, что, если ему не соответствовать, то нельзя на этом железе выпустить Android-смартфон. Это совсем не то же самое, что отказать в сотрудничестве компании на основании неких прегрешений с обновлениями по недоказуемой причине. Если Гугл так будет отлучать компании от Андроида, то от него все побегут как от огня.
Вообще, у этих двух компаний долгая история взаимных пинков, причём все отражаются на пользователях. Паны дерутся — у хлопцев чубы трещат. Что подставили — вопрос, насколько именно; заранее-то предупредили, пусть и за короткий срок. Уязвимость уже эксплуатируется, это не zero-day. Ну и по поводу последнего — опять не понял, при чём двуличность и подлость. Это просто рынок такой. Если пользователи (ногами или кошельками) не делают так, что срок поддержки устройства влияет на годовые отчёты компаний, то удивляться нечему, потому что задача компании — максимизация прибыли. Иначе инвесторы не поймут и начнут менять генеральных директоров и прочее.
Am0ralist
02.11.2016 00:32> Это совсем не то же самое, что отказать в сотрудничестве компании на основании неких прегрешений с обновлениями по недоказуемой причине.
Вы меня вообще читали? Я где-то писал об отказе компаниям разработчиков конкретны устройств? Компания — это Асус, Леново и они легко могут разрабатывать.
Я говорю, что Гугл легко может написать, что с чипами от этой компании — нельзя. То есть ровно то же самое, что и в вашей фразе: «если ему не соответствовать, то нельзя на этом железе выпустить Android-смартфон»
> от него все побегут как от огня.
Куда? Серьезно, куда побегут? Гугл — монополист на рынке мобильных ОС, лицензируемых сторонним производителям. Форки пилить? Да никому их форки не нужны будут без гуглплея.
Винфоны? Да никому они сейчас не нужны, тем более МС их само закопало.
«Обломись, бабка — мы на корабле!»Falstaff
02.11.2016 00:37Ну да, именно про них я и говорю — про Asus, про Lenovo… Если сказать Lenovo, мол, нам не нравится, что вы не обновляете устройства достаточно долго, мы разрываем с вами отношения, то, во-первых, будет суд (надо доказать, что Lenovo не обновлял, да ещё по неуважительным причинам, а не форс-мажор вроде упрямого Qualcomm), а во-вторых, Asus на это посмотрит и скажет, мол, ну этот Гугл, не буду с ним работать, какой-то он непредсказуемый. И все остальные так же скажут. Если что, и Asus, и Lenovo — большие производители в других областях, и не самые большие в смартфонном бизнесе, для них потеря этой ниши не фатальна. Да и MS всё ещё планирует реванш, может помочь им переползти на WP.
Am0ralist
02.11.2016 00:53То есть вы продолжаете читать только то, что сами вычитали в моих словах/выдумали у себя в голове.
Извините, в таком русле я вести разговор не могу. Потому что вы спорите сами с своими мыслями не замечая, что я пишут вам.Falstaff
02.11.2016 01:03Извините, если вы писали мне о том, что гугл должен порвать отношения с Qualcomm, то у меня просто не уложилось в голове, что вы можете такое предложить — ну разве что в шутку. :) Поэтому я продолжил считать, что вы всё-таки о производителях. У всех производителей чипсетов рыльце в пушку, придётся запрещать все. Это эквивалентно заявлению «вы можете делать смартфоны на Android, но нам не нравится ни один существующий производитель чипсетов, подождите, пока появится подходящий». Серьёзно?
batyrmastyr
01.11.2016 23:59+1Почитайте про разработку для Сеги Сатурн, с её двумя центральными процами, двумя видяшками и двумя же звуковухами, 8 видами памяти, без документации и на асме. Задачка уровня написать свою ОС с нуля и людей способных с ней справиться было немало.
И вы смешиваете в одну кучу редкие «при переходе с 4.0 на 6,0 в циане вафля не работает» и повсеместные «через 3 месяца после выхода модели мы прекращаем любые (даже в 3-й цифре) её обновления».
Да ладно гнусмасы и лыжи, тот же гугел так и не внёс изменения в часовые пояса для 2,3 пока она ещё поддерживалась. Видимо им ядро линукса и его интерфейсы мешают ещё сильнее, чем яйца плохим танцорам.Falstaff
02.11.2016 00:19Да я и не сомневаюсь в мастерстве разработчиков. Другое дело, что реверс драйверов не всегда легален (точнее, обычно нелегален). Компания не может посадить хакеров, налить им кофе и сказать, мол, сделайте так, чтобы на новом железе работало.
Через три месяца — вот тут уже не знаю, какая статистика. Я как-то думал, что три месяца — это скорее исключение чем правило. Про баг — опять же, не слышал, контекста и его важности не знаю, поэтому ни ругать ни отстаивать не буду.
batyrmastyr
02.11.2016 02:00Сейчас Гугл увеличил поддержку нексусов до двух лет, в 11-м году поднял с года до полутора. Всех прочих производителей раньше (года 3 назад) хватало максимум на год, но это были единичные исключения из правила 90% моделей живут 3-6 месяцев.
«Баг» о котором я упомянул банальная отмена перехода на летнее время и закрепление +4 часов по Москве. Не осилили.
А вот посвежее пример: http://www.computerworld.com/article/2867043/google-stops-patching-core-android-component-in-60-of-devices.html «ну если вы пришлёте патч, то может мы и примем его, так нам посрать на дыру в 60% мобил с нашей ОС»Falstaff
02.11.2016 02:40А, с отказом от обновлений в WebView, это я помню. Да, по всем меркам некрасивый ход был, тем более что в metasploit вроде бы уже были эксплоиты для непропатченных версий. Это у них грубо получилось. В принципе я могу понять, почему у них с этим были сложности (в бурлящем вебките что-то бэкпортировать на два года назад, думаю, адова работа), но да, это был натуральный jerk move. Правда, там хотя бы можно скачать и использовать сторонний браузер по умолчанию, тогда вектором только необновлённые приложения с vebview будут.
Erelecano
02.11.2016 09:15+1Приведенная вами цитата явно показывает, что текст писал какой-то туповатый фрик. Что-то выдает это, может то, что он не понимает как создаются телефоны, может то, что он пишет «андроед».
Расскажите про невозможность обновления моему HTC Desire Z, который родился с Android 2.1 и на котором сейчас стоит Android 5.0.Aingis
02.11.2016 11:10Да таких обновлений куча, только по факту в них не работает то одно, то другое, то вообще всё тормозит. Причем это касается даже официальных обновлений. См. обсуждение выше.
Erelecano
02.11.2016 12:10По факту у меня все работает, у других все работает, а про «нет обновлений» и следом «ой, есть, но ничего не работает» пишут андроидофобы никогда не видившие смартфоны на андроиде.
Aingis
02.11.2016 14:47-1Возможно, вам повезло. Возможно, вы непритязательны. Сколько я не экспериментировал с прошивками на андроиде, что с официальными, что с кастомными, все были ущербны. Так что ваш опыт нельзя распространять на других.
Erelecano
02.11.2016 14:54-2Возможно вы ничего не пробовали, возможно вы просто врете(так часто делают ябллолюбы, что бы обгадить андроид).
Darth_Malok
02.11.2016 04:25Соглашусь с некоторыми комментаторами сверху. Ощущение, что хотели «нагадить» майкрософту или попиариться за их счёт.
«Вот в винде есть такая уязвимость. Мы её очень быстро поправили. Мы такие молодцы, пользуйтесь гуглехромом!»
Если вы уже поправили, и ваши пользователи в безопасности, зачем разглашать-то?Erelecano
02.11.2016 09:17-2Очень грустно, когда человек в сообщении о проблемах видит «желание нагадить». Возможно вашему лечащему психиатру стоит обратить внимание на данный признак паранойи(вы в явном виде демонстрируете веру в теории заговора, а это является признаком болезни).
Darth_Malok
02.11.2016 14:08Обидны слова Ваши… где я писал про теорию заговора? Поднять репутацию продукту и компании за счёт репутации другого продукта и компании — это нормально в современном мире, увы. Или Вы всерьёз верите, что раскрытие уязвимости сделано чисто по доброте душевной?
vadoo
02.11.2016 14:19Такое ощущение, что у Вас куча акций мелкософта и дивиденды капают, а тут гугл свинью подложил.
Странно, что непонятна простая вещь, чем больше корпорациигрызутся и гадятконкурируют, тем лучше пользователю)))Darth_Malok
03.11.2016 07:27Понимаю, что подобная движуха идёт на пользу. И в то же время понимаю, что из за подобных «раскрытий уязвимостей во благо» в мире множатся ботнеты и печаль пользователей, которым малварь снёсла фотоархив за 10 лет…
red75prim
Замечательно! Google мне очень помог. Теперь я возьму и… хм. Начну писать перехватчик вызовов win32k.sys? Сделаю push-request в эвристический анализатор используемого антивируса? Буду продолжать не запускать подозрительные файлы?
foxin
В больших компаниях апдейты прилетают не после их выхода, а после апрува отдела безопасности. Патч для хрома уже вышел — т.е. хром безопасен. Другие браузеры — под вопросом. Так что отдел безопасности может зафорсить апрув апдейта для хрома и запретить использование других браузеров пока не выйдет патч.
Falstaff
… напишете на хабре ворчливый отзыв о политике обновлений Microsoft, и этот отзыв, вкупе с десятками тысяч подобных, сподвигнет компанию быстрее выкатить обновление — и, быть может, даже задуматься о том, как быстрее закрывать уязвимости в будущем? :) Мне кажется, что это создаёт нормальный, здоровый баланс — компаниям логично и выгодно сохранять статус кво и не суетиться, пока не прижмёт, а пользователям полезно время от времени пинать компании, чтобы те не расслаблялись.
agranom555
А потом выходит обнова, которую просто не успели проверить на различных конфигурациях и у части пользователей оно сносит систему. И начинается ор, что не тестируют нормально. А ведь сами пинают сперва
Falstaff
Надо и в ту и в эту сторону пинать, наверное? Чтобы и процесс тестирования улучшали (это ведь вопрос не только времени, но и организации), и обновления быстрее выкатывали. Я к тому, что вполне объяснимому и логичному с точки зрения бизнеса желанию не тратить деньги попусту, потому что «… всего десять тысяч пользователей с троянами сидят, лишние старания годовой отчёт не улучшат», должно противостоять давление недовольных пользователей (а в пользовательскую удовлетворённость входит и скорость подготовки патчей, и их качество). navion ниже дельный пример привёл — для тех, кто поважнее, и патчи получается делать быстро и качественно.
Если что, я даже не говорю плохо про MS или другие компании — им перед инвесторами отчитываться, с них за лишние телодвижения спросят. Дело пользователей — не молчать, чтобы побольше их интересов имели осязаемый вес для бизнеса. (Или голосовать ногами, но здесь голосовать-то некуда, рынок монопольный.)
navion
Не сработает. МС волнует мнение корпораций с семизначными суммами контрактов на поддержку, а простых смертых для них не существует за исключением всплесков от телеметрии.
r0ck3r
Видимо нужно еще и не заходить на подозрительные сайты, так как в статье написано:
выходит, что эксплуатация была возможна напрямую из браузера, хотя я не совсем понимаю как
iShatokhin
Google отчитался, что отключил win32k.sys от песочницы еще в 42 (точнее в 47) Chrome. Тоже не пойму как.