Neu entdeckte Sicherheitsanfälligkeiten in der Art, Android Prozesse MP3-und MP4-Dateien können Angreifern erlauben, auf Geräten durch Täuschung von Nutzern, um speziell gestaltete Web-Seiten besuchen zu kompromittieren.
Die Sicherheitsanfälligkeiten können Remotecodeausführung auf fast allen Geräten, die Android laufen, beginnend mit Version 1.0 des Betriebssystems im Jahr 2008 auf die neueste 5.1.1 veröffentlicht führen Forscher aus mobilen Sicherheitsfirma Zimperium sagte in einem Bericht voraussichtlich am Donnerstag veröffentlichten werden.
Die Mängel sind in der Art, Android verarbeitet die Metadaten von MP3-Audiodateien und MP4-Video-Dateien, und sie kann ausgenutzt werden, wenn das Android-System oder eine andere Anwendung, die auf Android-Medienbibliotheken setzt eine Vorschau solcher Dateien.
Die Sicherheitsanfälligkeiten können Remotecodeausführung auf fast allen Geräten, die Android laufen, beginnend mit Version 1.0 des Betriebssystems im Jahr 2008 auf die neueste 5.1.1 veröffentlicht führen Forscher aus mobilen Sicherheitsfirma Zimperium sagte in einem Bericht voraussichtlich am Donnerstag veröffentlichten werden.
Die Mängel sind in der Art, Android verarbeitet die Metadaten von MP3-Audiodateien und MP4-Video-Dateien, und sie kann ausgenutzt werden, wenn das Android-System oder eine andere Anwendung, die auf Android-Medienbibliotheken setzt eine Vorschau solcher Dateien.
Die Zimperium Forscher fanden ähnliche Multimedia-Verarbeitungsfehlern zu Beginn dieses Jahres in einem Android-Bibliothek namens Stagefright, die einfach durch Senden Android-Geräte ein in böser Absicht erstellten MMS-Nachricht ausgenutzt hätte.
Diese Mängel löste eine koordinierte Anstrengung Patchen von Geräteherstellern, die Android Führung von Sicherheitsingenieur Adrian Ludwig, genannt die "größte Einzel einheitlichen Software-Update in der Welt." Es trug auch zur Google, Samsung und LG verpflichten, monatlichen Sicherheitsupdates für die Zukunft.
Einer der Mängel durch Zimperium neu entdeckten in einem Kern Android Bibliothek namens libutils befindet und betrifft fast alle Geräte mit Android-Versionen vor 5.0 (Lollipop). Durch die Kombination mit einem anderen Fehler in der Stagefright Bibliothek gefunden - Die Sicherheitslücke kann auch in Android Lollipop (5.1.1 5.0) ausgenutzt werden.
Die Zimperium Forscher beziehen sich auf den neuen Angriff als Stagefright 2.0 und glauben, dass es wirkt sich auf mehr als 1 Milliarde Geräte.
Da die früheren Angriffsvektor von MMS wurde in neueren Versionen von Google Hangouts und andere Messaging-Anwendungen nach den vorherigen Stagefright Mängel geschlossen wurden gefunden, die geradlinig Verwertungsverfahren für die neuesten Sicherheitslücken ist über Webbrowser, sagte der Zimperium Forscher.
Angreifer könnten Benutzer zum Besuch Websites, die den Fehler durch Links in E-Mails und Instant Messages oder durch böswillige Werbung auf legitime Webseiten angezeigt auszunutzen Trick.
Man-in-the-Middle-Angreifer, die in der Lage, Benutzer-Internet-Verbindungen beispielsweise auf offenen Funknetzwerke oder über gefährdet Router abzufangen, sind, könnten zu injizieren der Exploit direkt in ihre unverschlüsselte Web-Traffic.
Drittanbieter-Media-Player oder Instant Messaging-Anwendungen, die auf dem betroffenen Android-Bibliothek angewiesen, um Metadaten von MP3-und MP4-Dateien zu lesen könnte auch als Angriffsmethode verwendet werden, sagte der Forscher.
Zimperium berichtet die Mängel bei Google am 15. August und die Pläne zur Freigabe Proof-of-Concept-Exploit-Code, sobald ein Update freigegeben wird.
Das Update wird am 5. Oktober im Rahmen der neuen geplanten monatlichen Android Sicherheits-Update kommen, sagte ein Google-Vertreter.
Google verfolgt die Schwachstellen CVE-2015-3876 und CVE-2.015-6.602. Es freigegebenen Patches für sie mit OEM-Partnern am 10. September zusammen mit allen Updates, die in der Oktober-Sicherheitsupdate enthalten sein werden.
Die früheren Stagefright Mängel aufgefordert Forschern, Android Multimedia-Verarbeitungsbibliotheken Sonde für zusätzliche Schwachstellen. Forscher von der Antivirenhersteller Trend Micro seit gefunden und gemeldet mehrere Probleme in dieser Komponenten.
"Da mehr und mehr Forscher haben verschiedene Schwachstellen, die innerhalb der Stagefright Bibliothek und zugehörigen Bibliotheken existieren erkundet erwarten wir weitere Schwachstellen in der Umgebung zu sehen", sagte der Zimperium Forscher in ihrem Bericht.
"Viele Forscher in der Gemeinschaft haben, sagte Google, um Fehler berichteten sie sagen, sie waren doppelt oder bereits intern entdeckt geantwortet."
Zimperium plant, seine freie Stagefright Detector App mit Detektion für die Mängel zu aktualisieren, wenn die Patches verfügbar sind.
No comments:
Post a Comment