Rettelse til Stagefright har fejl

Artiklen blev oprindeligt publiceret den 14/8/2015

Den sikkerhedsrettelse til en sårbarhed i Android-modulet Stagefright, som Google er ved at udsende, har en fejl. Ifølge sikkerhedsforskere gør det, at rettelsen ikke fjerner sårbarheden.

Sårbarheden ligger i Stagefright, som Android anvender til at behandle multimediadata. Den kan blandt andet udnyttes ved at sende en MMS-besked til den sårbare enhed, hvorved der afvikles skadelig kode.

Google har udarbejdet en rettelse og er begyndt at distribuere den til brugere af Nexus-telefoner. Andre producenter har også fået adgang til rettelsen.

Men ifølge sikkerhedsfirmaet Exodus er der en fejl i en af de i alt seks rettelser til sårbarheden. Fejlen gør, at angribere stadig kan udnytte sårbarheden.

Exodus har kontaktet Google om det, men har ikke hørt fra dem. Ifølge The Register har Google udarbejdet en rettet version af rettelsen, som er på vej ud til Nexus-brugere nu.

Anbefaling
Afvent en sikkerhedsrettelse fra leverandøren af dit Android-system.

Links

• Stagefright: Mission Accomplished? Blogindlæg fra Exodus
• Google flubs patch for Stagefright security bug in 950 million Androids, artikel fra The Register
• Alvorlige huller i Android står åbne, DKCERT 29-07-2015