Рекомендуем, 2019

Выбор редакции

Еще одна серьезная уязвимость, обнаруженная в службе обработки медиафайлов Android

Служба Android, которая обрабатывает мультимедийные файлы, недавно стала источником нескольких уязвимостей, в том числе новая, которая может заставить уязвимые приложения получить доступ к конфиденциальным разрешениям.

Последняя уязвимость в компоненте mediaserver от Android были обнаружены исследователи безопасности из антивирусной фирмы Trend Micro и проистекают из функции AudioEffect.

Реализация этой функции неправильно проверяет некоторые размеры буфера, которые предоставляются клиентами, например приложениями медиаплеера. Поэтому можно создать приложение-изгоев без каких-либо специальных разрешений, которые могли бы использовать недостаток, чтобы вызвать переполнение кучи, сообщили Trend Micro в понедельник в сообщении в блоге.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows ]

Используя уязвимость, приложение-мошенник сможет выполнять те же действия, что и компонент mediaserver, который включает в себя съемку, запись видео, чтение файлов MP4 и другие конфиденциальные функции.

Ошибка, которая затрагивает Android версии 2.3 до 5.1.1, сообщили в Google в июне, и исправление для него было опубликовано в Android Open Source Project (AOSP) 1 августа, согласно исследователям.

Теперь телефон чтобы включить исправление в свой код и выпустить обновления прошивки для затронутых устройств. Несмотря на то, что распространение обновлений в экосистеме Android в последнее время показало некоторые улучшения, вероятно, будет много устройств, которые не будут исправлены, поскольку они больше не поддерживаются.

В начале августа многие производители устройств запустили крупномасштабное исправление в ответ на отдельную уязвимость в коде обработки мультимедиа Android. Недостаток был обнаружен в прошлом месяце и может быть удаленно удален через MMS-сообщение или веб-страницу.

В беседе на конференции по безопасности Black Hat от 5 августа ведущий инженер безопасности Android Адриан Людвиг упомянул об исправлении Stagefright как «единственное самое большое унифицированное обновление программного обеспечения в мире».

Однако исследователи безопасности из фирмы, называемой Exodus Intelligence, сообщили на прошлой неделе, что первоначальный патч Google для ошибки Stagefright был неполным. Это заставило команду Android создать еще один патч, который, согласно The Register, уже распространился среди своих партнеров и будет поставляться на устройства Nexus и Nexus Player в сентябре.

В дополнение к уязвимости Stagefright и последнему недостатку AudioEffect, исследователи из Trend Micro также недавно сообщили о двух других уязвимостях в компоненте медиа-сервера Android, которые могут заставить устройства переходить в цикл перезагрузки или заставить их перестать отвечать.

И Джошуа Дрейк, исследователь, который нашел первую уязвимость Stagefright, и Trend Micro исследователи предупреждают, что код обработки мультимедийных данных Android, вероятно, станет источником будущих уязвимостей.

Top