Обновление Google Android включает исправление для нового дефекта Stagefright

google

Четвертое обновление для Android – начиная с Google запустило ежемесячные обновления после того, как дефект Stagefright был обнаружен – и фиксирует семь уязвимостей.Как обещано, Google продолжает выпускать ежемесячные обновления системы защиты Android, чтобы охранять пользователей. Ноябрьское обновление теперь отсутствует, отмечая четвертое обновление, так как Google запустил ежемесячные обновления после того, как о дефекте Android Stagefright сначала сообщили в июле. Руководитель безопасности Android Google Адриан Людвиг сначала передал компанию новому ежемесячному циклу обновления для Android в Black Hat конференция США в августе.

Еще один Stagefright-связанный дефект теперь исправляется в Android. Стэджефрайт, или более точно libstagefright, является фактически библиотекой кода, не названием самой проблемы. Также, «Стэджефрайт выходит», ошибки в той определенной библиотеке в Android.

Первый патч Stagefright-связанных ошибок прибыл из Google в августе со вторым пакетом, что исследователи в области безопасности назвали Stagefright 2, который был исправлен в октябрьском обновлении.О двух из новых проблем, включая одну в libstagefright, которые исправляются в ноябрьском обновлении Android, сообщила Google фирма безопасности Trend Micro. Google идентифицировал CVE-2015-6610 как уязвимость повышения полномочия в libstagefright, в то время как CVE-2015-6611 является уязвимостью информационного раскрытия в медиасервере.Кристофер Бадд, глобальный менеджер по коммуникациям угрозы в Trend Micro, сказал eWEEK, что до настоящего времени его компания не имеет никакого доказательства, что CVE-2015-6610 и CVE-2015-6611 уязвимости под активной атакой.

Дэниелу Микею, исследователю в области безопасности в безопасности Медноголовой змеи, кредитует Google за отчетность CVE-2015-6609, удаленную уязвимость выполнения кода в libutils библиотеке.«Уязвимость в libutils, универсальной библиотеке, может быть использована во время обработки аудиофайла», Google предупреждает на его консультации. «Эта уязвимость могла позволить атакующему, во время обработки специально обработанного файла, вызывать повреждение памяти и удаленное выполнение кода».

Micay, никакой посторонний к раскрытию уязвимости системы обеспечения безопасности Android, получил кредит от Google для отчетности CVE-2015-3875 в октябрьском обновлении. О той уязвимости также сообщил Джошуа Дрейк, вице-президент Zimperium zLabs исследования платформы и эксплуатации.Селезень является первоначальным первооткрывателем libstagefright уязвимостей, сначала сообщил в июле. Теперь, в ноябре, Селезень не удивлен, что уязвимости все еще исправляются в libstagefright библиотеке.

«Код был ясно записан без большого беспокойства о безопасности, безопасности или устойчивости», сказал Дрейк eWEEK. «Это займет время и длительное усилие для очистки его.Смотря в частности на CVE-2015-6610 libstagefright уязвимость в ноябрьском обновлении, о котором сообщает Trend Micro, Селезень не видит ту же степень серьезности как предшествующие проблемы.

Он отметил, что проблема, кажется, требует, чтобы некоторый уровень доступа к устройству выполнил нападение.«После рассмотрения исправления для той проблемы кажется, что инициирование уязвимости потребовало бы очень большого файла: 1.3 ГБ», сказал Дрейк. «Такой файл занял бы время для передачи, делая удаленные нападения, использующие эту проблему очень вряд ли. Так, короче говоря, это, кажется, не так серьезно как проблемы, о которых мы ранее сообщили, особенно те в первом раунде».В то время как Селезню не приписывают отчетность ни об одной из проблем, устраненных в ноябрьском обновлении Android, он сообщил, что многократные дополнительные проблемы Гуглят, которые еще не были обращены.

«Не было никакого изменения состояния по проблемам, которые мы имеем выдающийся с Google», сказал Дрейк. «Они в настоящее время находятся в государстве, где мы не доказали, что путь выполнения кода с последствиями безопасности существует».Хотя Селезень получил некоторую славу для его сведений Stagefright, которые включали разговор в Black Hat событие США 2015 года в Лас-Вегасе, он теперь сфокусирован на других проблемах.«Лично, я шел дальше от исследования свойств безопасности libstagefright в настоящее время к работе над другими проектами», сказал Дрейк. «Существует сильный шанс, я буду смотреть снова, но на данный момент, это до большего сообщества к далее нашей работе».

Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.


VIRTU-VIRUS.RU