תיקוני Google קריטי בעיבוד מדיה ב- Android

2024

Android O и Android Go, Google Assistant с функциями Home и прочие интересности Google I/O 2017

תיקוני אבטחה חדשים עבור מכשירי Nexus של Google מטפלים בשבע פגיעויות, ששתיים מהן קריטיות ויכולות לאפשר ביצוע קוד מרחוק בעת טיפול בקבצי מדיה.

העדכונים, שפורסמו ביום שני, הם חלק ממחזור החישוב החודשי שהציגה Google לאחרונה, והם זמינים עבור מכשירי Nexus שבהם פועל Android 5.1 (Lollipop) ו- 6.0 (מרשמלו). קוד המקור של התיקונים יתווסף גם ל- Android Open Source Project (AOSP) במהלך 48 השעות הבאות.

הפגמים החמורים ביותר המתוקנים במהדורה זו מתבצעים כ- CVE-2015-6608 ו- CVE-2015-6609 , והם ממוקמים mediaserver ו libutils רכיבים של אנדרואיד, בהתאמה. שתי הפגיעויות ניתנות לניצול מרחוק באמצעות קובצי מדיה בעלי מבנה מיוחד. [

[קריאה נוספת: כיצד להסיר תוכנות זדוניות ממחשב Windows]

האקרים יכולים לנצל מרחוק את הפגיעויות במספר דרכים, כולל שליחת הודעות MMS והטעיית משתמשים לשחק מדיה בדפדפן.

אלה הם רק האחרונה במחרוזת של פגיעויות קריטיות שנמצאו ותוקנו במרכיבי השמעת המדיה של Android מאז יולי, כאשר פגיעות בספריה הנקראת Stagefright הובילה למאמץ עיקרי מתואם של יצרני מכשירי Android ו- גרמו ל- Google, Samsung ו- LG להציג עדכוני אבטחה חודשיים.

למעשה, שלושה פגמים אחרים שנקבעו בעדכון חדש זה, אשר מדורגים כחומרה גבוהה, נמצאים ב- mediaserver, libstagefright ו- libmedia - כל רכיבי עיבוד המדיה. שתי הפגיעויות הנותרות נמצאות במרכיבי Bluetooth וטלפוניה.

Google מציינת כי הערכת החומרה שלה אינה לוקחת בחשבון את ההקלות שיכולות להפוך את ניצול הפגמים לקשה יותר. הן כוללות את שירותי Verify Apps ו- SafetyNet שעוקבים אחר יישומים שעלולים להזיק, משבשים עיבוד מדיה אוטומטי ביישומים כגון Google Hangouts ו- Messenger, וטכניקות נגד ניצול בגרסאות חדשות יותר של Android.