Google zakrpa kritične nedostatke obrade medija u Androidu

Nove sigurnosne zakrpe za Googleove Nexus uređaje odnose se na sedam ranjivosti, od kojih su dva kritična i mogu dopustiti daljinsko izvršavanje koda prilikom rukovanja s medijskim datotekama.

Ažuriranja objavljena u ponedjeljak dio su Googleovog nedavno predstavljenog mjesečnog zakrpa i dostupni su za Nexus uređaje s Androidom 5.1 (Lollipop) i 6.0 (Marshmallow). Izvorni kôd za popravke bit će dodan iu Android Open Source Project (AOSP) tijekom sljedećih 48 sati.

Najozbiljnija nedostataka u ovom izdanju praćena su kao CVE-2015-6608 i CVE-2015-6609 , a nalaze se u komponenti Android i Libutils komponenti Androida.

[Više čitanje: Kako ukloniti zlonamjerni softver s računala sa sustavom Windows]

Hakeri bi na daljinu mogli iskoristiti ranjivosti na više načina, uključujući slanje MMS poruka i zanovijetanje korisnika za reprodukciju mediji u pregledniku.

To su samo najnoviji niz kritičnih ranjivosti pronađenih i zakrpanih u komponentama reprodukcije medija u sustavu Android od srpnja, kada je ranjivost u knjižnici Stagefright dovela do velikog koordiniranog pokušaja zakrpavanja proizvođača uređaja Android i potaknuli su Google, Samsung i LG da uvedu mjesečna sigurnosna ažuriranja.

U stvari, još tri nedostatke fiksne u ovom novom ažuriranju koje su ocijenjene kao velika težina nalaze se u medijskom poslužitelju, libstagefrightu i libmedia - svim komponentama za obradu medija. Preostale dvije ranjivosti nalaze se u Bluetooth i Telephony komponentama.

Google napominje da njegova procjena ozbiljnosti ne uzima u obzir olakšice koje mogu otežati iskorištavanje takvih nedostataka. Uključuju verifikacijske aplikacije i usluge SafetyNet koje nadziru potencijalno štetne aplikacije, onemogućavaju automatsku obradu medija u aplikacijama kao što su Google Hangouts i Messenger te tehnike za suzbijanje eksploatacije koje su prisutne u novijim verzijama Androida.