鉴于Android的mediaserver问题,谷歌最新的Android安全更新重点关注了与操作系统处理媒体文件相关的漏洞。Android目前的缺陷与十多年前Windows出现的问题类似。
谷歌在本周发布的本月Android安全更新中,解决了7个漏洞。在关键漏洞中,一个在libutils组件(CVE-2015-6609)附近,怯场漏洞在整个夏天被发现,另一个在Android mediaserver组件(CVE-2015-6609)。它们被评为关键级,因为它们在处理格式错误的媒体文件时允许远程代码执行。
还有三个与媒体处理相关的安全漏洞被评为高安全漏洞。一个在Stagefright媒体回放引擎中(CVE-2015-6610),一个在mediaserver中(CVE-2015-6611),还有一个在libmedia组件中(CVE-2015-6612)。
趋势科技公司的克里斯托弗•巴德表示,媒体处理层容易受到漏洞和攻击。操作系统从Web服务获取数据并将其作为低层流程执行,正确地处理转换可能需要一些技巧。这一层很容易出现错误。
Mediaserver是Android操作系统的核心组件,它与许多系统应用程序交互,包括通过浏览器的彩信和媒体回放。谷歌在其报告中称,Mediaserver可以访问音频和视频流,以及第三方应用通常无法访问的特权。
考虑到mediaserver对Android的重要性,研究人员更仔细地研究Stagefright引擎和其他媒体库也就不足为奇了。加强审查不可避免地会导致报告和修复更多的错误。
巴德说,最近媒体相关的漏洞浪潮让人想起Windows的类似事件。Windows在决定如何安全播放来自不同来源的媒体文件时也面临着同样的挑战。
趋势科技报道了两个“高”漏洞,它们与怯场漏洞在同一领域,但属于不同的类别。Stagefright是一种远程代码执行缺陷,与之不同的是,这些缺陷是信息泄露和特权升级缺陷。虽然这些漏洞本身不会导致代码执行,但它们可能会与其他漏洞绑定,让攻击者访问设备。
libutils的关键缺陷被证明是一个整数溢出,可能导致库的向量容器中的堆溢出。攻击者可能通过使用与内存中某个项长度相当的足够高的输入值,并获得其中任何位置的写访问权,从而潜在地触发该bug。这个缺陷与libutils库在上个月的更新中修复的其他两个问题相似。
“libutils漏洞是非常严重的,因为他们允许攻击者获得代码执行,他们使用不可信的输入,”Cooperhead安全公司的Daniel Micay说,他报告了这个漏洞。虽然这个漏洞是在libutils中,但是它可以通过libstagefright暴露出来,如果使用libstagefright的mediaserver进程执行了这个漏洞代码,那么它就变成了一个远程代码执行攻击。潜在的攻击媒介包括Web浏览器中的媒体播放和彩信。Mediaserver还会自动扫描和分析Android共享存储区域中的所有媒体文件,这意味着设备上下载的媒体文件可能会引发攻击。
这些更新适用于运行Android 5.1 Lollipop和6.0 Marshmallow的Nexus设备,它们已经被添加到Android开源项目中。谷歌的合作伙伴——手机制造商——已经收到了更新,但具体什么时候推出用户手机,还得取决于各个运营商。
这篇文章,“Android安全更新关注媒体文件”最初发表于信息世界 。