Прошло несколько месяцев с того момента, когда уязвимость медиаплеера Stagefright стала достоянием широких масс, однако баги в этом компоненте ОС Android не переводятся.

Вчера вышел очередной регулярный набор обновлений для системы безопасности Android, уже четвертый по счету; он устраняет еще одну брешь в Stagefright, а также серьезную уязвимость в библиотеке libutils и две уязвимости в Android Mediaserver.

Все Nexus-устройства были автоматически обновлены в режиме OTA, в ближайшие дни данный апдейт появится в репозитории AOSP (Android Open Source Project). Партнерам, включая Samsung, эти патчи, по свидетельству Google, были переданы еще 5 октября. Исправления учтены в Lollipop сборки LMY48X и выше, а также в Android Marshmallow уровня актуальности на 1 ноября.

Уязвимости CVE-2015-6609 в libutils и CVE-2015-6608 в Mediaserver разработчик оценил как критические; в обоих случаях эксплойт позволяет атакующему удаленно выполнить код.

Mediaserver является ключевым компонентом ОС Android, с ним взаимодействует ряд приложений, работающих на прием удаленных контактов, таких как MMS-сообщения и мультимедиа, воспроизводимые в браузере.

«При обработке мультимедиа и данных специально созданного файла наличие уязвимости в Mediaserver позволяет атакующему нарушить целостность памяти и удаленно исполнить код как mediaserver-процесс, — отмечено в бюллетене Google. — Этой проблеме присвоена критическая степень опасности из-за возможности удаленно выполнить код в контексте сервиса Mediaserver. Данная служба имеет доступ к потокам аудио- и видеоданных, а также может пользоваться правами, которые обычно недоступны сторонним приложениям».

Эксплуатация libutils также осуществляется через порчу памяти и открывает возможность для удаленного исполнения кода. «Затронутая функция предоставляется как API, и многие приложения разрешают ее вызов для удаленного контента, в частности MMS и мультимедиа, проигрываемого в браузере, — поясняет Google в бюллетене. — Данная проблема расценена как критическая, так как она позволяет удаленно выполнить код на привилегированном сервисе. Затронутый компонент имеет доступ к потокам аудио- и видеоданных, а также пользуется привилегиями, обычно недоступными для сторонних приложений».

Данных о публичных эксплойтах для вышеназванных уязвимостей у Google нет. Критическая уязвимость в Mediaserver была обнаружена исследователями из Chrome Security Team, в libutils — Дэниелом Майкеем (Daniel Micay) из Copperhead Security, который сообщил о ней Google 3 августа.

Майкей поведал Threatpost, что его августовский приватный отчет был посвящен трем брешам в libutils. Две из них доступны через libstagefright и позволяют удаленно исполнить код. Одну, CVE-2015-3875, разработчик залатал в прошлом месяце.

«Уязвимости в libstagefright (включая унаследованную от использующей ее libutils) позволяют удаленно выполнить код в контексте процесса mediaserver, который использует libstagefright, — пояснил Майкей. — Векторы атаки могут быть разные, от медиаконтента на веб-странице (в браузере) до медиасообщений (MMS) и загруженных медиафайлов (Mediaserver автоматически сканирует/анализирует все медиафайлы в совместно используемой памяти Android). Уязвимости в libutils более серьезны, так как они могут также открыть уязвимости в других областях — например, позволить злоумышленнику развить атаку от компрометации mediaserver-процесса до уровня root (атака на system_server и т.п.)».

Вторая уязвимость в Mediaserver, CVE-2015-6611, представляет собой баг раскрытия информации; Google расценила ее как весьма опасную. Кроме того, пропатчены три возможности повышения привилегий в libstagefright (CVE-2015-6610), libmedia (CVE-2015-6612) и Bluetooth (CVE-2015-6613), также высокого уровня опасности, и баг повышения привилегий в Telephony (CVE-2015-6614).

Новая уязвимость в Stagefright была приватно раскрыта 19 августа Севеном Шэнем (Seven Shen) из Trend Micro. По свидетельству Google, ее можно использовать локально с помощью вредоносного приложения, которое провоцирует нарушение целостности памяти и тем самым открывает возможность для исполнения кода в рамках Mediaserver. Удаленный эксплойт в данном случае маловероятен.

Категории: Главное, Уязвимости