怯场漏洞2.0:手机听个MP3可能就遭骇,几乎全部安卓版本皆受影响
只要利用特製的MP3音乐或MP4影片就可能造成远端程式攻击,而且影响从Android 1.0之后几乎所有的Android版本,波及10亿名Android用户,Zimperium将其称为Stagefright 2.0漏洞。
揭露Android媒体函式库「怯场」(Stagefright)漏洞的资安业者Zimperium再公布两个相关漏洞,只要利用特製的MP3音乐或MP4影片就可能造成远端程式攻击,而且影响从Android 1.0之后几乎所有的Android版本,波及10亿名Android用户,Zimperium将其称为Stagefright 2.0漏洞。
Zimperium是在今年7月揭露8个Stagefright相关的安全漏洞,骇客只要传递内含特殊媒体档案的多媒体简讯给使用者,不需使用者的互动就能在手机上远端执行任意程式。由于首代Stagefright漏洞几乎影响所有的Android版本,因而掀起Google史上最大规模的安全更新,也促成不少装置製造商开始仿效PC平台执行定期更新。
Zimperium继续钻研Stagefright的安全性之后又额外发现两个安全漏洞,其中一个漏洞影响从Android 1.0迄今的所有Android版本,其中一个漏洞编号为CVE-2015-6602,另一个漏洞编号则尚未出炉。
相关漏洞藏匿在媒体档案中的元资料处理程序,因此就算只是预览音乐或是影片,都会触发相关漏洞攻击。由于Google已经修补了Hangouts与Messenger中的多媒体简讯漏洞,因此新漏洞的攻击媒介很可能是透过浏览器展开。包括诱导使用者造访由骇客掌控的网站,或是利用中间人攻击技术拦截使用者的浏览器流量,也能透过使用有漏洞函式库的第三方程式。
根据Zimperium的研究,Android 5.0以上的版本已确认可藉由libstagefright的漏洞执行远端程式攻击,而较旧的版本只有在libutil中含有漏洞的功能被使用时才会受到影响,包括第三方程式、装置製造商或电信业者都可能使用相关功能。
Google已计画在下周修补相关漏洞,届时Zimperium也会与Zimperium Handset Alliance(ZHA)用户分享概念验证攻击程式,也将督促手机製造商或电信业者应在修补程式释出后儘速展开更新。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 中共中央政治局召开会议 4941562
- 2 蔡磊回应再捐1个亿 4991400
- 3 罗永浩评小米SU7上市 4825310
- 4 十组数据看中国经济“开门红” 4729930
- 5 “90后”陈翔宇升任副市长 4643523
- 6 相亲强奸案当事人改判无罪获赔57万 4561748
- 7 居民家中自来水出现大量虫子 4444097
- 8 俩姐姐帮23岁弟弟找王婆说媒 4386707
- 9 北京辟谣图书馆有偿招志愿者 4257267
- 10 广州暴雨 4122901