В мобильной ОС Google Android обнаружены две новых 0day уязвимости, которые позволяют атакующим исполнить код на устройстве пользователя с использование специальным образом сформированных файлов формата MP3 или MP4. Пара этих уязвимостей CVE-2015-6602 и CVE-2015-3876 относится к типу Remote Code Executon (RCE) и получила название Stagefright 2.0, схожее с предыдущими уязвимостями Stagefright, которые Google исправила ранее в рамках месячных наборов обновлений [1,2].
Уязвимости присутствуют в системных компонентах Android с названиями libutils и libstagefright, они позволяют эксплойту работать с максимальными правами на устройстве, получая над ним полный контроль. Это позволяет атакующим устанавливать на него вредоносное ПО и красть конфиденциальную информацию пользователя.
Основным вектором атаки с использованием этих уязвимостей является мобильный веб-браузер, который может позволить пользователю проиграть удаленный медиа-файл. Подобной операции достаточно для эксплуатации этих уязвимостей, так как оригинальные уязвимости Stagefright уже были закрыты Google ранее и атакующие не могут полагаться на отправку MMS-сообщений и автоматического срабатывания эксплойта. В данном случае, им необходимо тем или иным способом заманить пользователя на веб-сайт с вредоносным содержимым. Самим уязвимостям подвержены все версии этой мобильной ОС.
Соответствующее обновление для исправления этих уязвимостей еще не вышло, но Google обещает исправить их в этом месяце, также в рамках месячного набора обновлений. Список выпущенных бюллетеней безопасности Android можно найти по этой ссылке. Мы рекомендуем пользователям не переходить по фишинговым ссылкам из текстовых SMS-сообщений или сообщений электронной почты, а также не посещать подозрительные ресурсы на которых предлагается прослушать предлагаемый контент.
be secure.
Уязвимости присутствуют в системных компонентах Android с названиями libutils и libstagefright, они позволяют эксплойту работать с максимальными правами на устройстве, получая над ним полный контроль. Это позволяет атакующим устанавливать на него вредоносное ПО и красть конфиденциальную информацию пользователя.
Основным вектором атаки с использованием этих уязвимостей является мобильный веб-браузер, который может позволить пользователю проиграть удаленный медиа-файл. Подобной операции достаточно для эксплуатации этих уязвимостей, так как оригинальные уязвимости Stagefright уже были закрыты Google ранее и атакующие не могут полагаться на отправку MMS-сообщений и автоматического срабатывания эксплойта. В данном случае, им необходимо тем или иным способом заманить пользователя на веб-сайт с вредоносным содержимым. Самим уязвимостям подвержены все версии этой мобильной ОС.
Соответствующее обновление для исправления этих уязвимостей еще не вышло, но Google обещает исправить их в этом месяце, также в рамках месячного набора обновлений. Список выпущенных бюллетеней безопасности Android можно найти по этой ссылке. Мы рекомендуем пользователям не переходить по фишинговым ссылкам из текстовых SMS-сообщений или сообщений электронной почты, а также не посещать подозрительные ресурсы на которых предлагается прослушать предлагаемый контент.
be secure.
