2. 10. 2015 15:35

Bezpečnostní výzkumník Joshua J. Drake ze společnosti Zimperium zLabs objevil set dalších dvou zranitelností mobilních zařízení s operačním systémem Android.

Charakteristika zranitelnosti

Chyby spočívají ve zpracování metadat multimediálních souborů MP3 a MP4. První zranitelnost (v knihovně libutils) postihuje téměř všechny zařízení s OS Android od verze 1.0, druhá zranitelnost (v knihovně libstagefright) pak může cílit na zařízení s OS Android verze 5.0 a vyšší. Těchto chyb mohou útočníci zneužít, například pokud přesvědčí svou oběť, aby navštívila webovou stránku, na které hostí speciálně upravené škodlivé MP3 nebo MP4 soubory. Pouhé zaslání těchto souborů však nezpůsobí okamžitou kompromitaci. Aby k tomu došlo, musí útočníci obelstít či přesvědčit svou oběť ke spuštění souborů například ve webovém prohlížeči, přes zranitelný přehrávač či aplikaci třetích stran. Jakmile takto oběť spustí prohlížení jednoho z těchto infikovaných multimediálních souborů, které běžně obsahují hudbu nebo video, její zařízení může být rychle kompromitováno.

Postižené systémy

OS Android od verze 1.0 do verze 5.0 (Lollipop) včetně.

Dopad zranitelnosti

Zranitelnost umožňuje útočníkům převzít plnou kontrolu nad infikovaným mobilním zařízením, včetně kamery a mikrofonu. V ohrožení se tak mohou ocitnout veškerá uložená data.

Řešení

Doporučuje se nainstalovat bezpečnostní záplatu, která by měla být vydána v pondělí 5. října 2015. Dále se doporučuje dbát zvýšené obezřetnosti při spouštění hudebních a video souborů z neznámých, či nedůvěryhodných zdrojů.

CVE

CVE-2015-6602
CVE-2015-3876

Odkazy

http://thehackernews.com/2015/10/android-stagefright-vulnerability.html
http://fortune.com/2015/10/01/stagefright-android-vulnerability-song/
http://www.techworm.net/2015/10/stagefright-2-0-vulnerability-android-media-processing-billions-users-at-risk.html
https://blog.zimperium.com/zimperium-zlabs-is-raising-the-volume-new-vulnerability-processing-mp3mp4-media/