ОБНАРУЖЕН STAGEFRIGHT 2.0, MP3 И MP4 ОПАСНЫ ДЛЯ ANDROID

лис.хвост

VIP
Разработчик
Сообщения
635
Симпатии
1,028
Баллы
188
#1
proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp-content%2Fuploads%2F2015%2F10%2Fandroid-1000x622.jpg&hash=45c2b1165a58923763866e5faafca266


обнаружили Stagefright 2.0 – сразу два новых бага угрожают всем пользователям Android.

Новые уязвимости (CVE-2015-6602 и CVE-2015-3876) очень похожи наисходный Stagefright и тоже затрагивают раздел Android Media Playback Engine называющийся Stagefright. На этот раз опасность представляют файлы MP3 и MP4. Злоумышленники могут модифицировать их таким образом, что их обработка приведет к удаленному исполнению вредоносного кода на устройстве жертвы. Для срабатывания бага достаточно даже простой активации превью.

Первой обнаруженной уязвимости (вlibutils) подвержены практически все устройства под управлением Android, начиная с версии 1 и заканчивая 5.1.1. Второй баг (в libstagefright) работает для Android 5.0 и выше.

Так как первая версия Stagefrightпозволяла хакерам атаковать пользователей через отправку MMS-сообщений, функцию MMS в популярных приложениях (Google Hangouts, Messenger и так далее) переработали и попросту отключили. Специалисты Zimperium полагают, что теперь атак следует скорее ожидать через браузер. По мнению экспертов, сейчас у атакующих есть три пути. Первый: заманивать пользователей на свой вредоносный сайт, при помощи фишинговых ссылок, через рекламные сети и другими методами. Второй: атакующие могут находиться в той же сети, что и жертва. Это позволяет им провести инъекцию эксплоита в незашифрованный трафик, используя техники перехвата трафика (MITM). Третий: использовать сторонние приложения (медиаплееры или мессенджеры), работающие с уязвимой библиотекой.

Представители Google уже готовят исправления для новых багов, а также спешат успокоить – по данным корпорации, случаев эксплуатации уязвимостей зафиксировано не было. Планируется, что патчи от Google войдут в состав Nexus Security Bulletin от 5 октября 2015 года.

proxy.php?image=https%3A%2F%2Fxakep.ru%2Fwp-content%2Fuploads%2F2015%2F10%2Fandroid_sept_2015_wikip-1040x499.jpg&hash=25c8f5c622d69f9239024fee6a71cc8f

Распределение версий Android на рынке, статистика на сентябрь 2015 года

Напомню, что согласно официальным данным, более 70% Android-устройств во всем мире работают под управлением устаревших версий ОС (4.4 и ниже), многие из них никогда не видели патчей вовсе. Учитывая, что обновления и исправления трудятся выпускать далеко не все производители, даже в таких серьезных случаях, как Stagefright, ситуация в целом печальная.
 

лис.хвост

VIP
Разработчик
Сообщения
635
Симпатии
1,028
Баллы
188
#2
То, что подлатали

Google выпустила обновление для Android, которое закрывает ряд уязвимостей в различных компонентах ОС. В рамках обновленияNexus Security Bulletin — October 2015 компания исправила 30 уникальных уязвимостей, включая, уязвимость Stagefright 2.0. Уязвимости присутствуют в системном компоненте libstagefright и позволяют атакующему удаленно исполнить код в Android с максимальными привилегиями в системе.

proxy.php?image=http%3A%2F%2Fhabrastorage.org%2Ffiles%2Ff95%2Ff81%2F3fa%2Ff95f813fa42049e6a6c973b85ff5b000.png&hash=1725de0e1e107b41561864066ae22128


Новое обновление для Android уже третье по счету, в котором Google пытается избавить пользователей от уязвимостей типа Stagefright. Предыдущие обновления закрывали в Android критический для пользователей метод эксплуатации уязвимостей с использованием мультимедийного MMS-сообщения, когда ему даже не нужно открывать само сообщение, при этом эксплойт срабатывает сразу по приходу сообщения. Обновление этого месяца закрывает другой вектор эксплуатации — с использованием мобильного веб-браузера.

Уязвимости типа RCE в системных компонентах Android очень опасны, поскольку позволяют атакующим исполнить код в системе с максимальными правами, т. е. получить полный контроль над устройством. Ниже указанные уязвимости в таких компонентах какlibstagefright, Sonivox, libutils, Skia, libFLAC относятся именно к этому типу. Как мы уже писали ранее, множественные уязвимости в библиотеке libstagefright, позволяют атакующим удаленно исполнить код на устройстве путем заманивания пользователя на проигрывание специальным образом сформированных файлов MP3 и MP4 (в контексте сервиса mediaserver). Ссылка на веб-страницу с вредоносным содержимым может быть отправлена пользователю через SMS-сообщение или электронное письмо. Почти все исправляемые уязвимости актуальны для версий Android 5.1 и ниже (все версии).

То же самое касается других библиотек и компонентов, указанных выше (Sonivox, libutils, Skia, libFLAC), они позволяют атакующему удаленно исполнить код на устройстве пользователя с максимальными правами в системе, поскольку они используются системным сервисом mediaserver.

proxy.php?image=https%3A%2F%2Fhabrastorage.org%2Ffiles%2F617%2F754%2F9a4%2F6177549a4fcf4c24b991d9ac8f06ad5a.png&hash=942bbd01bba767b06e26caf930735a3c


Прочие уязвимости в системных компонентах могут использоваться атакующими для повышения своих привилегий в системе. Например, уязвимость в компоненте Bluetooth позволяет приложению удалять хранящиеся в памяти устройства SMS-сообщения.

Мы рекомендуем пользователям устройств под управлением Android установить соответствующее обновление.

 
Сверху Снизу