В минувший понедельник Google устранила две критические уязвимости в проблемном компоненте Android Mediaserver; эти бреши позволяют использовать электронную почту, веб-серфинг и MMS-каналы с целью удаленного исполнения кода. Общее число заплат, выпущенных для медиасервера со времени обнаружения уязвимости в Stagefright, уже перевалило за два десятка.

Новый патч для Mediaserver включен в очередное OTA-обновление для системы безопасности ОС Android, установленных на Nexus-устройствах. Мартовский апдейт совокупно устраняет 19 уязвимостей; семь из них оценены как критические, десять — как высоко опасные. Google планировала раздать это обновление и внести его в репозиторий AOSP в течение двух суток. Телеоператоры-партнеры и производители мобильных устройств были уведомлены о выпуске еще 1 февраля.

Судя по описанию, уязвимости CVE-2016-0815 и CVE-2016-0816 в Mediaserver аналогичны январской и февральским. «При обработке мультимедиа и данных специально созданного файла наличие уязвимости в Mediaserver позволяет атакующему нарушить целостность памяти и удаленно исполнить код как mediaserver-процесс», — пишет Google в бюллетене.

Еще одна уязвимость RCE, ныне закрываемая, была обнаружена в пакете libvpx (CVE-2016-1621).

«С одной стороны, этот тип функциональности (Mediaserver) известен как подверженный уязвимостям, — комментирует Джон Оберхайде (Jon Oberheide), соучредитель и технический директор Duo Security. — Однако, зная это, Google могла бы приложить больше усилий, чтобы изолировать столь опасную площадь атаки и обеспечить обновление Mediaserver более адекватными методами. Поставщики беспроводной связи славятся своей неспешностью в отношении внеочередных патчей».

Новый апдейт также устраняет критические уязвимости повышения привилегий в Conscrypt (CVE-2016-0818), модуле от Qualcomm для измерения производительности (CVE-2016-0819), Wi-Fi-драйвере производства MediaTek (CVE-2016-0820) и в компоненте keyring (CVE-2016-0728). Данных об активном эксплойте уязвимостей, перечисленных в мартовском бюллетене, на настоящий момент нет.

Владельцам Nexus-устройств рекомендуется обновить прошивку до сборок LMY49H и выше, а также до уровня Android Marshmallow. Есть и альтернативный путь: проверка версии прошивки на устройстве поможет удостовериться в том, что обновления применены, а также уточнить дату установки последнего патча для Android.

Команда Google, отвечающая за безопасность Android, ведет мониторинг злоупотреблений, используя службы Verify Apps и SafetyNet. Эти элементы защиты также способны предупреждать пользователей о попытках установки потенциально опасных приложений.

Категории: Главное, Уязвимости