Рекомендуем, 2019

Выбор редакции

У Google есть еще одна попытка исправления недостатка Stagefright

Google выпустил еще один патч для уязвимости Stagefright после того, как фирма по безопасности заявила, что первая не исправила ее.

Сотни миллионов устройств Android уязвимы для Stagefright. Устройство может быть скомпрометировано только путем получения специально созданного мультимедийного сообщения (MMS), поэтому злоумышленнику нужен только номер телефона жертвы.

Ошибка была обнаружена Джошуа Дрейком в компании мобильной безопасности Zimperium, которая представила набор патчи вместе с его большим отчетом. На прошлой неделе Google опубликовал свой первый патч для Stagefright.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Но исследователь другой охранной фирмы Exodus Intelligence обнаружил недостаток в патче, предназначенном для исправления Stagefright , Он создал вредоносный файл MP4, который мог обойти исправление. Exodus уведомил Google 7 августа, но не получил ответа и решил сделать информацию публичной, сказал Аарон Портной, вице-президент Exodus, в блоге. Google с тех пор признал отчет Exodus и назначил его CVE-2015-3864.

Portnoy написал, что он был удивлен, что такая серьезная уязвимость не получила эффективного патча в первый раз.

«Google использует чрезвычайно большие так что многие члены выделяют время для проверки программного обеспечения другого поставщика и отчитываются перед ними, чтобы обеспечить исправление кода в течение крайнего срока », - писал он. «Если Google не сможет продемонстрировать способность успешно устранять раскрытую уязвимость, влияющую на своих собственных клиентов, то какая надежда у остальных у нас есть?»

В заявлении в четверг Google сообщила, что отправила последнее исправление своим партнерам. Устройства в своей линии Nexus, включая Nexus 4, 5, 6, 7, 9, 10 и Nexus Player, получат обновленное обновление в рамках ежемесячного обновления обновления компании за сентябрь.

Google сказал на конференции по безопасности Black Hat в начале этого месяца он выпустил ежемесячные патчи безопасности для устройств Android после того, как Stagefright выставил миллионы устройств для атаки. Крупные поставщики, такие как Microsoft, Adobe Systems и Oracle, в течение многих лет выпускали исправления безопасности в обычном расписании.

Но проблема с мобильными устройствами заключается в том, что операторы играют ключевую роль в распространении патчей. Хотя за последние три года Google отправил исправления для мобильных операторов, именно эти компании отправляли исправления пользователям.

Основные производители Android, включая Samsung и LG, также обязались работать с партнерами-перевозчиками для распространения ежемесячных патчей.

Top