怯场漏洞2.0:手机听个MP3可能就遭骇,几乎全部安卓版本皆受影响

业界 作者:HackerEye 2015-10-03 03:18:05
只要利用特製的MP3音乐或MP4影片就可能造成远端程式攻击,而且影响从Android 1.0之后几乎所有的Android版本,波及10亿名Android用户,Zimperium将其称为Stagefright 2.0漏洞。 揭露Android媒体函式库「怯场」(Stagefright)漏洞的资安业者Zimperium再公布两个相关漏洞,只要利用特製的MP3音乐或MP4影片就可能造成远端程式攻击,而且影响从Android 1.0之后几乎所有的Android版本,波及10亿名Android用户,Zimperium将其称为Stagefright 2.0漏洞。 Zimperium是在今年7月揭露8个Stagefright相关的安全漏洞,骇客只要传递内含特殊媒体档案的多媒体简讯给使用者,不需使用者的互动就能在手机上远端执行任意程式。由于首代Stagefright漏洞几乎影响所有的Android版本,因而掀起Google史上最大规模的安全更新,也促成不少装置製造商开始仿效PC平台执行定期更新。 Zimperium继续钻研Stagefright的安全性之后又额外发现两个安全漏洞,其中一个漏洞影响从Android 1.0迄今的所有Android版本,其中一个漏洞编号为CVE-2015-6602,另一个漏洞编号则尚未出炉。 相关漏洞藏匿在媒体档案中的元资料处理程序,因此就算只是预览音乐或是影片,都会触发相关漏洞攻击。由于Google已经修补了Hangouts与Messenger中的多媒体简讯漏洞,因此新漏洞的攻击媒介很可能是透过浏览器展开。包括诱导使用者造访由骇客掌控的网站,或是利用中间人攻击技术拦截使用者的浏览器流量,也能透过使用有漏洞函式库的第三方程式。 根据Zimperium的研究,Android 5.0以上的版本已确认可藉由libstagefright的漏洞执行远端程式攻击,而较旧的版本只有在libutil中含有漏洞的功能被使用时才会受到影响,包括第三方程式、装置製造商或电信业者都可能使用相关功能。 Google已计画在下周修补相关漏洞,届时Zimperium也会与Zimperium Handset Alliance(ZHA)用户分享概念验证攻击程式,也将督促手机製造商或电信业者应在修补程式释出后儘速展开更新。

关注公众号:拾黑(shiheibook)了解更多

[广告]赞助链接:

四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/

公众号 关注网络尖刀微信公众号
随时掌握互联网精彩
赞助链接