Google выпустила security-обновление для Android

    Google выпустила обновление для Android, которое закрывает ряд уязвимостей в различных компонентах ОС. В рамках обновления Nexus Security Bulletin — October 2015 компания исправила 30 уникальных уязвимостей, включая, уязвимость Stagefright 2.0, о которой мы более подробно писали здесь. Уязвимости присутствуют в системном компоненте libstagefright и позволяют атакующему удаленно исполнить код в Android с максимальными привилегиями в системе.



    Новое обновление для Android уже третье по счету, в котором Google пытается избавить пользователей от уязвимостей типа Stagefright. Предыдущие обновления закрывали в Android критический для пользователей метод эксплуатации уязвимостей с использованием мультимедийного MMS-сообщения, когда ему даже не нужно открывать само сообщение, при этом эксплойт срабатывает сразу по приходу сообщения. Обновление этого месяца закрывает другой вектор эксплуатации — с использованием мобильного веб-браузера.

    Уязвимости типа RCE в системных компонентах Android очень опасны, поскольку позволяют атакующим исполнить код в системе с максимальными правами, т. е. получить полный контроль над устройством. Ниже указанные уязвимости в таких компонентах как libstagefright, Sonivox, libutils, Skia, libFLAC относятся именно к этому типу. Как мы уже писали ранее, множественные уязвимости в библиотеке libstagefright, позволяют атакующим удаленно исполнить код на устройстве путем заманивания пользователя на проигрывание специальным образом сформированных файлов MP3 и MP4 (в контексте сервиса mediaserver). Ссылка на веб-страницу с вредоносным содержимым может быть отправлена пользователю через SMS-сообщение или электронное письмо. Почти все исправляемые уязвимости актуальны для версий Android 5.1 и ниже (все версии).

    То же самое касается других библиотек и компонентов, указанных выше (Sonivox, libutils, Skia, libFLAC), они позволяют атакующему удаленно исполнить код на устройстве пользователя с максимальными правами в системе, поскольку они используются системным сервисом mediaserver.



    Прочие уязвимости в системных компонентах могут использоваться атакующими для повышения своих привилегий в системе. Например, уязвимость в компоненте Bluetooth позволяет приложению удалять хранящиеся в памяти устройства SMS-сообщения.

    Мы рекомендуем пользователям устройств под управлением Android установить соответствующее обновление.

    image
    be secure.
    ESET NOD32
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 10

      +8
      Мы рекомендуем пользователям устройств под управлением Android установить соответствующее обновление.
      Для подавляющего большинства пользователей производители никогда не выпустят обновления :(
        +1
        А для некоторых ближайшим обновлением «безопасности» станет переход с 5.х на 6.0 или с 4.х на 5.0
        0
        А если обновление не светит, эти библиотеки можно где-то скачать в виде бинарников и подсунуть из под рута в нужное место?
          0
          Мне кажется, что ABI где-нибудь поломается…
          +2
          Google выпустила, а HTC как всегда не выпустила.
            0
            … которое никто не дождётся.
              –2
              Чего это никто, я второй день уже с мармеладкой )
                0
                Marshmallow — это не мармелад.
              0
              Хм… Прилетело уже по воздуху вместо более ожидаемого M. 9,8Мб
                +1
                Мы рекомендуем пользователям устройств под управлением Android установить соответствующее обновление.

                Звучит как издевательство. Типа пользователь любого Android устройства имеет возможность установить любой апдейт, и весь вопрос только в его желании/нежелании, ага.

                Only users with full accounts can post comments. Log in, please.