АНАЛИЗ НОВОСТЕЙ: Спустя месяцы после того, как Google выпустил свои первые патчи Stagefright, больше libstagefright уязвимостей появилось, и больше, вероятно, появится.Google выпустил свое ежемесячное обновление системы защиты Android, и еще раз, существует исправление для Stagefright (технически libstagefright) уязвимости. Всего, Google обеспечивает патчи для 18 однозначно определенных Общих Уязвимостей и Воздействий (CVEs).
Google, сначала переданный для выпуска ежемесячных обновлений Android в августе после начального раскрытия вокруг Stagefright. Начальные уязвимости Stagefright были сначала публично раскрыты в июле Джошуа Дрейком, вице-президентом Исследования Платформы и Эксплуатации в Zimperium zLabs.С технической точки зрения libstagefright является библиотекой носителей, которая была общей частью мобильной операционной системы Google начиная с выпуска Android 2.2.
Google исправил начальный набор дефектов libstagefright, о которых Дрейк сообщил в августе, но дополнительные дефекты были показаны в прошедших месяцах. В обновлении Android в октябре Google 19 уязвимостей были исправлены, включая многократные проблемы Стэджефрайта, и компания исправила еще больше ошибок Стэджефрайта в своем обновлении Android в ноябре.В декабрьском обновлении Android Google исправляет четыре новых libstagefright уязвимости.
Каждый – CVE-2015-6620, дефект расширения полномочий в libstagefright, о котором сначала сообщили Google 2 сентября 2015.Декабрьское обновление Android также включает патчи для трех информационных уязвимостей раскрытия: CVE-2015-6626, CVE-2015-6631 и CVE-2015-6632.
О проблеме CVE-2015-6631 сначала сообщили Google 21 августа, в то время как о CVE-2015-6626 сообщили 2 сентября. Google не раскрывает дату, что о CVE-2015-6632 сообщили.
«Существуют информационные уязвимости раскрытия в libstagefright, который во время связи с медиасервером мог разрешить обходу мер безопасности на месте увеличивать трудность атакующих, использующих платформу», консультация Google предупреждает о трех информационных уязвимостях раскрытия.Факт, что Google все еще исправляет libstagefright, портится спустя пять месяцев после того, как о первых дефектах сообщили и публично обсудили, не все это необычное. В ноябре Дрейк сказал eWEEK, что, когда он сначала исследовал код libstagefright, ему было ясно, что код был записан без большого беспокойства о безопасности, безопасности или устойчивости.«Это займет время и длительное усилие для очистки его», сказал Дрейк.
Уязвимость Stagefright, которая сначала сделала заголовки в июле и была предметом разговора о Black Hat в августе, является сложным вопросом, который существует глубоко в Android. Это не ни одна проблема-it’s много-и распутывание путаницы, и создание более безопасного Android собирается занять время Google. Никто не должен быть слишком удивлен, существует ли все еще libstagefright дефекты, исправленные Google в обновлении Android в январе 2016.
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.