Количество уязвимостей, обнаруженных в Stagefright для Android, снова выросло, и на этот раз атаке подвержены устройства, начиная с Android 1.0. Эта первая уязвимость, затрагивающая почти все устройства Android, находится в «libutils» — и это лишь одна из уязвимостей, недавно обнаруженных Zimperium. Другая уязвимость была найдена в libstagefright, что делает устройства Android с версиями ПО новее 5.0 также уязвимыми…
Как сообщила Zimperium Mobile Security:
Встречайте Stagefright 2.0 — набор из двух уязвимостей, проявляющихся при обработке специально созданных аудиофайлов MP3 или видеофайлов MP4. Первая уязвимость (в libutils) затрагивает почти все устройства Android начиная с версии 1.0, выпущенной в 2008 году. Мы нашли способы вызвать эту уязвимость на устройствах с версиями 5.0 и выше, используя вторую уязвимость (в libstagefright). Google присвоил уязвимости в libutils идентификатор CVE-2015-6602. Мы планируем поделиться информацией о CVE для второй уязвимости, как только она станет доступной.
Для большинства это, безусловно, будет лишь набор непонятной технической терминологии, но на самом деле все довольно просто: существует пара уязвимостей, которые проявляются, когда Android обрабатывает метаданные определенных файлов MP3 и MP4. К счастью, Google исправил уязвимости MMS в своих последних версиях, и на этот раз злоумышленникам придется использовать что-то более сложное. Zimperium предполагает, что веб-браузер теперь является наиболее вероятным вектором атаки.
Хотя вам, вероятно, не стоит паниковать, Android-телефон, которым вы владеете — возможно, тот, на котором вы читаете эту статью — определенно уязвим. Однако первоначальная уязвимость Stagefright стала одной из многих причин, побудивших Google вмешаться и начать выпускать ежемесячные обновления безопасности для Android. Если у вас устройство Nexus, вы, вероятно, первыми получите обновление для исправления этой ошибки, в то время как владельцы других Android-телефонов будут ждать своей очереди.
Google еще не признал эту уязвимость официально и, конечно же, не объявлял о планах по ее исправлению, но она почти наверняка находится в разработке. Именно поэтому они выпускают эти ежемесячные обновления безопасности (и дают пользователям Marshmallow дату, до которой их устройство безопасно), верно? Google выпустил последнее обновление 8 сентября, поэтому я предполагаю, что они готовятся выпустить еще одно на следующей неделе или около того. Будет ли оно включать исправления для «Stagefright 2.0», еще предстоит увидеть.