在移动操作系统中的潜在的、具有破坏性的安全缺陷被披露的几个月后,谷歌发布出关于处理这次报告中指出的安全漏洞的修补程序。
今天的谷歌安全月报,是谷歌在今年夏天举办的黑帽大会后,发布的第四份报告,它指出,谷歌将会定期发布修补程序的更新补丁,包括一个对Stagefright媒体回放引擎的缺陷的修复,一个安卓底层系统中的漏洞,这个漏洞存在于Stagefright2.0的漏洞中,以及两个存在于安卓运行易受攻击的代码的媒体服务器中的漏洞。
无线更新将在今天向谷歌的Nexus系列设备开放,并且将会在接下来的两天添加到安卓开放资源项目存储库中。谷歌的合作伙伴,包括三星,已经在10月5号获得了谷歌提供的补丁。谷歌补充说,增加这些补丁是为了修复在LMY48X及更高的设备上的漏洞,以及将会在11月1号向安卓的Marshmallow 提供补丁。
Google认为媒体服务器之一,CVE-2015-6608的漏洞和CVE-2015-6609的底层系统中的缺陷一样,二者都允许远程执行代码,如果利用此缺陷,后果都很严重。
媒体服务器是安卓操作系统中的核心部分,以及大量的允许远程交互的应用程序都与其有关,谷歌补充并指出,MMS信息以及借由浏览器进行的媒体回放就是两个例子。
“在对特殊构架的文件中的媒体文件以及数据进行处理的过程中,媒体服务器中的漏洞可能允许攻击者对内存进行破坏,以及在媒体服务器的运行过程中进行远程代码操控。”谷歌在咨询中表示“这个问题的严重性取决于在媒体服务器的运行环境中进行远程代码操控的可能性。媒体服务器可以接受视频及音频流的访问,以及拥有使第三方软件不能正常访问的权利。
攻击者同样可以利用底层系统的漏洞,进行远程代码操控,破坏内存。
“有多个应用程序可以使一个功能受到影响的API与远程内容进行联系,最突出的就是彩信以及浏览器的媒体播放功能。”谷歌在咨询中说道“这一问题被看作是最严重的问题,由于特权服务中,存在远程代码执行的可能性。受影响的组件有对视频及音频流的访问及使第三方软件不能正常访问的权利”
谷歌说,公众对利用这些漏洞并不知情。
谷歌说,关键媒体服务器中的内部漏洞由Chrome安全团队的Abhishek Arya, Oliver Chang 和Martin Barbella发现,而底层安全漏洞在8月3号被Copperhead Security安全团队的Daniel Micay私下报道。
Micay告诉Threatpost,他在8月份报道的三个底层系统中的漏洞中,有两个都通过了liastagebright,并且使代码被执行,他说,新增的
CVE-2015-3875漏洞已经在10月份被解决。
一个libstagefright漏洞(其中包括从底层系统中继承而来的漏洞)可以在媒体服务器使用libstagefright的过程中,利用远程代码操控进行攻击。攻击的矢量范围包括web网页(浏览器),短信(MMS),下载的媒体文件(媒体服务器会对安卓的公共存储区域中的全部媒体软件自动进行扫面和分析),Micay说“libutils vulns更为严重,因为它们会将安全漏洞暴露在其他区域,例如攻击者可以利用媒体服务器升级的过程(或者攻击server系统等)
剩余的媒体服务器的漏洞,CVE-2015-6611,是被谷歌披露为故障最多的漏洞。谷歌同样修补了libstagefright (CVE-2015-6610), libmedia (CVE-2015-6612)以及Bluetooth (CVE-2015-6613)中存在的三个提升特权的漏洞,这些漏洞同样被认定为高风险,剩余的漏洞,CVE-2015-6614是在电话服务中的特权的漏洞。
Stagefright漏洞在8月19号由Trend Micro的Seven Shen报道。一个本地的恶意软件,谷歌说,可能会破坏内存,以及为媒体服务器中的代码执行铺平道路。谷歌说,远程利用的可能性可以很低。
原始的Stagefright漏洞由Zimperium的研究员Joshua Drake所发现,并且这个漏洞已经影响了超过9亿5千万的安卓设备。Stagefright的第二波漏洞影响了超过1亿台设备,并且这些漏洞已经在上个月被修补。Stagefright2.0,被贴上了标签,它被认为与Stagefright最初的漏洞具有相同的风险,这些漏洞借由特殊的MMS信息,一直被Stagefright自动处理。Stagefright2.0的缺陷可以利用移动浏览器,比如,受害者向URL发送的位置链接会保留这一漏洞,或者可以通过中间人攻击的方式。就像第一波攻击一样,Stagefright2.0漏洞主要是利用手机。Stagefright被授予一些系统级别的权限,让攻击者有机会提高其特权,并控制该设备。