Rekommenderas, 2019

Redaktionen

Google har ett annat försök att patchera Stagefright-fel

Google har släppte en annan lapp för Stagefright-sårbarheten efter att ett säkerhetsföretag sa att den första inte gjorde det.

Hundratals miljoner Android-enheter är sårbara för Stagefright. En enhet kan äventyras endast genom mottagandet av ett speciellt utformat multimediameddelande (MMS), så en angripare behöver bara offrets telefonnummer.

Felet hittades av Joshua Drake hos mobila säkerhetsföretaget Zimperium, som lämnade en uppsättning patchar tillsammans med sin stora rapport. Google har släppt sin första patch för Stagefright förra veckan.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Men en forskare med ett annat säkerhetsföretag, Exodus Intelligence, upptäckte en fel i plåstret för att fixa Stagefright . Han skapade en skadlig MP4-fil som kunde kringgå fixen. Exodus anmälde Google den 7 augusti, men fick inget svar och bestämde sig för att offentliggöra informationen, Aaron Portnoy, en exodus vice president, sade i ett blogginlägg. Google har sedan bekräftat Exodus rapport och tilldelat det som CVE-2015-3864.

Portnoy skrev att han var förvånad över att en sådan stor sårbarhet inte fick en effektiv patch för första gången.

"Google använder en oerhört stor säkerhetspersonal så mycket att många medlemmar ägnar sig åt att granska annan leverantörs programvara och hålla dem ansvariga för att tillhandahålla en kodreparation inom en tidsfrist, "skrev han. "Om Google inte kan visa förmågan att framgångsrikt avhjälpa en offentliggjort sårbarhet som påverkar sina egna kunder, vad har vi för resten av oss?"

I ett uttalande på torsdagen sade Google att den hade skickat sin senaste fix till sina partners. Enheter i Nexus-raden, inklusive Nexus 4, 5, 6, 7, 9, 10 och Nexus Player, får en uppdatering över luften som en del av företagets månadsuppdatering för september.

Google sa vid Black Hat-säkerhetskonferensen tidigare i månaden skulle det utfärda månatliga säkerhetsuppdateringar för Android-enheter efter att Stagefright exponerade miljoner enheter att attackera. Stora leverantörer som Microsoft, Adobe Systems och Oracle har i åratal släppt säkerhetsskorrigeringar på ett vanligt schema.

Men problemet med mobila enheter är att operatörerna spelar en nyckelroll vid distributionen av patchar. Under de senaste tre åren har Google skickat patchar till mobiloperatörer, det var upp till dessa företag att skicka patcharna till användarna. Den processen gick långsamt om alls.

Stora Android-tillverkare, inklusive Samsung och LG, har också förbundit sig att samarbeta med operatörspartners för att distribuera månadsvisa patchar.

Top