Rekommenderas, 2019

Redaktionen

En annan allvarlig sårbarhet som hittades i Androids mediebehandlingsservice

Android-tjänsten som behandlar multimediefiler har nyligen varit källa till flera sårbarheter, inklusive en ny som kan ge otäcka program tillgång till känsliga behörigheter.

Den senaste sårbarheten i Android: s mediaserver-komponent upptäcktes av säkerhetsforskare från antivirusföretaget Trend Micro och stammar från en funktion som heter AudioEffect.

Genomförandet av den här funktionen kontrollerar inte korrekt buffertstorlekar som tillhandahålls av klienter, som mediaspelare. Därför är det möjligt att skapa en oseriös ansökan utan några speciella behörigheter som kan utnyttja felet för att utlösa ett överflöde, berättade Trend Micro-forskarna på en måndag i ett blogginlägg.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator ]

Genom att utnyttja sårbarheten skulle den skurkliga applikationen kunna utföra samma åtgärder som mediaserverkomponenten, vilket inkluderar att ta bilder, spela in videoklipp, läsa MP4-filer och andra sekretesskänsliga funktioner.

Felet, vilket påverkar Android versioner 2.3 till 5.1.1, rapporterades till Google i juni och en lösning för den publicerades i Android Open Source Project (AOSP) den 1 augusti, enligt forskarna.

Det är nu på väg att ringa tillverkare att införliva korrigeringen i deras kod och släppa fast programvaruuppdateringar för berörda enheter. Trots att distributionen av uppdateringar i Android-ekosystemet har visat några förbättringar på senare tid kommer det sannolikt att finnas många enheter som inte kommer att patchas eftersom de inte längre stöds.

I början av augusti lanserade många enhetsleverantörer en storskalig patching ansträngningar som svar på en separat sårbarhet i Android: s mediakodningskod. Felet avslöjades förra månaden och kan utnyttjas på distans via ett MMS-meddelande eller en webbsida.

I ett samtal på Black Hats säkerhetskonferens den 5 augusti hänvisade Androids ledande säkerhetsingenjör, Adrian Ludwig, till Stagefright-patchen ansträngningar som "enskilt största enhetliga mjukvaruuppdatering i världen".

Säkerhetsforskare från ett företag som heter Exodus Intelligence rapporterade förra veckan att Googles första patch för Stagefright-felet var ofullständig. Detta tvingade Android-teamet att skapa en annan patch som enligt Registeret distribuerade Google redan till sina partners och kommer att leverera till sina Nexus- och Nexus Player-enheter i september.

Förutom Stagefright-sårbarheten och den senaste AudioEffect-felen, Forskare från Trend Micro har också nyligen rapporterat två andra sårbarheter i Android: s mediaserverkomponent som kan tvinga enheterna till en omstartsling eller få dem att svara.

Både Joshua Drake, forskaren som hittade den första Stagefright-sårbarheten och trenden Mikroforskare har varnat för att Android: s multimediebehandlingskod sannolikt kommer att vara en källa till framtida sårbarheter.

Top