怯场漏洞2.0:手机听个MP3可能就遭骇,几乎全部安卓版本皆受影响
只要利用特製的MP3音乐或MP4影片就可能造成远端程式攻击,而且影响从Android 1.0之后几乎所有的Android版本,波及10亿名Android用户,Zimperium将其称为Stagefright 2.0漏洞。
揭露Android媒体函式库「怯场」(Stagefright)漏洞的资安业者Zimperium再公布两个相关漏洞,只要利用特製的MP3音乐或MP4影片就可能造成远端程式攻击,而且影响从Android 1.0之后几乎所有的Android版本,波及10亿名Android用户,Zimperium将其称为Stagefright 2.0漏洞。
Zimperium是在今年7月揭露8个Stagefright相关的安全漏洞,骇客只要传递内含特殊媒体档案的多媒体简讯给使用者,不需使用者的互动就能在手机上远端执行任意程式。由于首代Stagefright漏洞几乎影响所有的Android版本,因而掀起Google史上最大规模的安全更新,也促成不少装置製造商开始仿效PC平台执行定期更新。
Zimperium继续钻研Stagefright的安全性之后又额外发现两个安全漏洞,其中一个漏洞影响从Android 1.0迄今的所有Android版本,其中一个漏洞编号为CVE-2015-6602,另一个漏洞编号则尚未出炉。
相关漏洞藏匿在媒体档案中的元资料处理程序,因此就算只是预览音乐或是影片,都会触发相关漏洞攻击。由于Google已经修补了Hangouts与Messenger中的多媒体简讯漏洞,因此新漏洞的攻击媒介很可能是透过浏览器展开。包括诱导使用者造访由骇客掌控的网站,或是利用中间人攻击技术拦截使用者的浏览器流量,也能透过使用有漏洞函式库的第三方程式。
根据Zimperium的研究,Android 5.0以上的版本已确认可藉由libstagefright的漏洞执行远端程式攻击,而较旧的版本只有在libutil中含有漏洞的功能被使用时才会受到影响,包括第三方程式、装置製造商或电信业者都可能使用相关功能。
Google已计画在下周修补相关漏洞,届时Zimperium也会与Zimperium Handset Alliance(ZHA)用户分享概念验证攻击程式,也将督促手机製造商或电信业者应在修补程式释出后儘速展开更新。
关注公众号:拾黑(shiheibook)了解更多
[广告]赞助链接:
四季很好,只要有你,文娱排行榜:https://www.yaopaiming.com/
让资讯触达的更精准有趣:https://www.0xu.cn/
关注网络尖刀微信公众号
随时掌握互联网精彩
随时掌握互联网精彩
赞助链接
排名
热点
搜索指数
- 1 习近平澳门之行 这些瞬间令人难忘 7939332
- 2 突发:美军战斗机被击落 7967354
- 3 湖南卫视声明 7852817
- 4 在澳门 传统文化在指尖绽放 7705259
- 5 不许说日语的App在日本爆火 7621324
- 6 上海地铁列车撞塔吊 车头变形 7544582
- 7 南昌通报李某雪已被送诊 7422992
- 8 全红婵夺金当地长出一个奥运村 7327156
- 9 网红吃宵夜晕倒 昏迷8个月去世 7285945
- 10 美国女教师强奸12岁男童怀孕获刑 7125814