Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 2/10/2015
Sikkerhedsforskere har fundet et alvorligt sikkerhedshul i Androids behandling af video- og lydfiler. Angribere kan udnytte det ved at få brugere til at åbne MP3- og MP4-filer.De to sårbarheder ligner dem, der i foråret blev fundet i programmeringsbiblioteket Stagefright. Den ene ligger også i Stagefright, mens den anden er i Libutils.
Den sidstnævnte sårbarhed berører næsten alle Android-enheder.
Sårbarheden i Stagefright berører Android 5 og senere versioner.
Sårbarhederne ligger i behandlingen af metadata i filerne. Derfor behøver brugeren ikke afspille filen for at blive ramt, filen skal blot forberedes til afspilning.
En angriber kan narre sit offer til at besøge en URL, hvor der ligger mediefiler, som er udformet, så de udnytter sårbarheden. Dermed kan der blive afviklet skadelige programmer på enheden.
Google lukker hullerne i en sikkerhedsrettelse til deres Nexus-enheder i næste uge. Det er uvist, hvornår andre leverandører fjerner sårbarhederne i deres produkter.
Anbefaling
Afvent opdateringer til Android.
Links
- Zimperium zLabs is Raising the Volume: New Vulnerability Processing MP3/MP4 Media, advarsel fra Zimperium
- Stagefright is back, and affecting millions of Android devices, artikel fra ZDNet
- It's BACK Stagefright 2.0: Zillions of Android gadgets can be hijacked by MP3s, movie files, artikel fra The Register
- Stagefright 2.0: New vulnerabilities leave a billion Android devices at risk, blogindlæg fra Symantec