Приветствую Вас ГостьСреда, 18.07.2018, 05:26

Мир Софта

«  Июль 2015  »
ПнВтСрЧтПтСбВс
  12345
6789101112
13141516171819
20212223242526
2728293031
Программа недели
C-Media CMI8738/C3DX Audio Device PCI
Новые программы
Новая литература
Немного поэзии

Жизнь так нелепа, так сложна

Мы умираем и рождаем

Таких как мы, полнейших тайн

Полнейших ненависти, зла...

Читать полностью
Друзья сайта


Нас знают
Каталог@Mail.ru - каталог ресурсов интернет
Архив записей
Поиск

Главная » 2015 » Июль » 29 » В Android обнаружены несколько критичных уязвимостей
07:41
В Android обнаружены несколько критичных уязвимостей

Компания Zimperium, занимающаяся созданием решений в области информационной безопасности, сообщила об обнаружении нескольких серьезных уязвимостей в ОС Android. Бреши в системе безопасности позволяют злоумышленнику с помощью специально сформированного MMS-сообщения получить контроль над микрофоном, динамиком, медиатекой пользователя, а в некоторых случаях — полный доступ к системе с повышенными привилегиями. По предварительным данным уязвимы все версии системы от Android 2.2 Froyo до Android 5.1 Lollipop.

Все уязвимости касаются особого системного фреймворка Stagefright, который в Android отвечает за обработку и управление медиаданными. Какие именно ошибки содержатся в этом компоненте специалисты сообщать не стали, но предупредили, что эксплуатировать уязвимость можно легко — отослав, например, на номер жертвы специально сформированную MMS. В случае, если у жертвы по умолчанию включена автозагрузка этого типа сообщений (а в популярном предустановленном клиенте Hangouts она включена), то злоумышленник может полностью скрыть свои действия, и жертва даже не узнает, что ей приходила вредоносная MMS. Впрочем, даже если приём MMS настроен на ручной режим, то это только несколько усложняет выполнение кода, так как злоумышленнику необходимо добиться подтверждения загрузки. В случае, если файл с вредоносным кодом всё-таки смог добиться обработки в компоненте Stagefright, то злоумышленник получает возможность выполнить произвольный код с привилегиями, которые есть у Stagefright. Обычно у этого компонента права ограничены медиаконтентом, поэтому злоумышленник может получить контроль над медиатекой жертвы, а также над камерой, динамиком и микрофоном. Но в некоторых моделях смартфонов, например, от LG или Samsung, включая распространённую модель Galaxy S4, Stagefright работает с правами суперпользователя, поэтому злоумышленник может сразу получить полный доступ к устройству жертвы. По словам хакера Джошуа Дрейка, который занимался изучением Stagefright, эту уязвимость ему удалось проэксплуатировать и на предпоследнем флагмане от Google — Nexus 5 со всеми доступными обновлениями.

Господин Дрейк заявил, что он сообщил корпорации Google данные об уязвимости в апреле текущего года, и в течение дня компания признала наличие уязвимости и включила исправление в состав исходных кодов Android. Спустя некоторое время специалист обнаружил ещё несколько похожих уязвимостей в Stagefright и также сообщил о них в компанию, сопроводив их ещё и необходимыми исправлениями, которые также были приняты корпорацией. Руководство отдела обеспечения безопасности Android сообщило о необходимости включения данного исправления партнёрам по Open Handset Alliance, но, судя по Nexus 5, Google пока не удаётся довести необходимое обновление даже до своих устройств. Пресс-службы компаний HTC и Samsung уже подтвердили, что они получили уведомление от Google несколько недель назад, и исправления уже включены в кодовые базы всех будущих обновлений, но не стали уточнять, какие устройства получат их. На данный момент известно, что только смартфон Blackphone от швейцарской компании Silent Circle уже работает с прошивкой, в которой все уязвимости Stagefright устранены. Кроме того, ряд специалистов сообщает, что в тестовых сборках Android M фреймворк также не подвержен обнаруженным дефектам, но крайне маловероятно, что эта версия системы доберется до массового потребителя раньше начала следующего года.

Что касается подробностей о дефектах компонента Stagefright, то они будут раскрыты господином Дрейком 5 и 7 августа на конференциях Black Hat и DEF CON. Пока специалист только сообщил, что по степени серьезности эти уязвимости похожи на печально знаменитую уязвимость Heartbleed, только ещё хуже.

Источник: OSzone.net

Категория: Новости Софта | Просмотров: 311 | Добавил: alex | Рейтинг: 0.0/0
Категории раздела
Новости Софта [6179]
Новости из мира софта
Новости Железа [7039]
Новости из мира железа
----->> ТОП 10 <<-----
C-Media CMI8738/C3DX Audio Device PCI
Обои для презентаций
Драйвера и софт для Веб-камера A4Tech
FlylinkDC++ r400 Build 4582 х86
MiniTool Partition Wizard Home Edition 6.0
VKontakte.DJ версия 3.22
MobiMB Media Browser 3.5.31 RUS
Пакет оформления для Windows 7 х86х64 Rus"Windows 7 New Look Dark"
Тема Mac OS для Windows 7
Windows 7 Firewall Control 4.0.144.38 х32/х64
----->> Новые Статьи <<-----
[15.05.2013][ПК и комплектующие]
Особенности ремонта ноутбуков.(19)
[26.03.2013][ПК и комплектующие]
Как уберечь информацию и электроприбору от перебоя напряжения
[28.02.2013][ПК и комплектующие]
Особенности ремонта ноутбука.(5)
[28.02.2013][ПК и комплектующие]
Грамотная настройка компьютера без посещения мастерской
[18.12.2012][Программное обеспечение]
Преимущества Google Adwords и Яндекс Директ
[27.11.2012][ПК и комплектующие]
Купить Kinect
[11.09.2012][ПК и комплектующие]
Схемы автоматизации, а также диспетчеризации зданий – новведение в технологической сфере.
[10.09.2012][Программное обеспечение]
Обои и программы для ОС Андроид на планшеты и КПК
[27.08.2012][Программное обеспечение]
Flash игры бесплатно играть - это весело
[20.08.2012][ПК и комплектующие]
Мобильные компьютеры, их типы, техничексие характеристики и особенности
Наш опрос
Помог ли Вам наш сайт?
Всего ответов: 75
Сейчас на сайте

Главная | Новости | Софт | Литература