记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

怯场漏洞2.0:手机听个MP3可能就遭骇,几乎全部安卓版本皆受影响

2015-10-03 11:55

只要利用特製的MP3音乐或MP4影片就可能造成远端程式攻击,而且影响从Android 1.0之后几乎所有的Android版本,波及10亿名Android用户,Zimperium将其称为Stagefright 2.0漏洞。

揭露Android媒体函式库「怯场」(Stagefright)漏洞的资安业者Zimperium再公布两个相关漏洞,只要利用特製的MP3音乐或MP4影片就可能造成远端程式攻击,而且影响从Android 1.0之后几乎所有的Android版本,波及10亿名Android用户,Zimperium将其称为Stagefright 2.0漏洞。

Zimperium是在今年7月揭露8个Stagefright相关的安全漏洞,骇客只要传递内含特殊媒体档案的多媒体简讯给使用者,不需使用者的互动就能在手机上远端执行任意程式。由于首代Stagefright漏洞几乎影响所有的Android版本,因而掀起Google史上最大规模的安全更新,也促成不少装置製造商开始仿效PC平台执行定期更新。

Zimperium继续钻研Stagefright的安全性之后又额外发现两个安全漏洞,其中一个漏洞影响从Android 1.0迄今的所有Android版本,其中一个漏洞编号为CVE-2015-6602,另一个漏洞编号则尚未出炉。

相关漏洞藏匿在媒体档案中的元资料处理程序,因此就算只是预览音乐或是影片,都会触发相关漏洞攻击。由于Google已经修补了Hangouts与Messenger中的多媒体简讯漏洞,因此新漏洞的攻击媒介很可能是透过浏览器展开。包括诱导使用者造访由骇客掌控的网站,或是利用中间人攻击技术拦截使用者的浏览器流量,也能透过使用有漏洞函式库的第三方程式。

根据Zimperium的研究,Android 5.0以上的版本已确认可藉由libstagefright的漏洞执行远端程式攻击,而较旧的版本只有在libutil中含有漏洞的功能被使用时才会受到影响,包括第三方程式、装置製造商或电信业者都可能使用相关功能。

Google已计画在下周修补相关漏洞,届时Zimperium也会与Zimperium Handset Alliance(ZHA)用户分享概念验证攻击程式,也将督促手机製造商或电信业者应在修补程式释出后儘速展开更新。

知识来源: www.ijiandao.com/safe/it/16220.html

阅读:113110 | 评论:0 | 标签:业界 Android 5.0 CVE-2015-6602 Stagefright 漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“怯场漏洞2.0:手机听个MP3可能就遭骇,几乎全部安卓版本皆受影响”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云