似乎毕竟是平道暴风雨。由于大多数人可能会记得,几个月前,在Android的一个核心多媒体库中的一个可怕漏洞被发现,发现几乎影响了谷歌OS支持的每个设备,早在2.2 Froyo。从那以后,没有报道实际利用的报告利用该错误,但自然地,它给整个行业相当恐慌,触发了许多OEM的快速反应,如摩托罗拉和三星,他发出紧急修复。
就在我们认为麻烦过去了,Zimperium,同一个安全公司揭示了初始漏洞的闪光,现在警告了两个已经在同一Android Stayfight组件中找到的新错误。根据官方描述,可以利用特制的MP3和MP4文件利用新的漏洞。第一个在libutils的函数中找到,并且可能会影响任何Android构建,早在Android 1.0。然而,第二个可能更可怕,因为它与LibStageFright的漏洞有关,并且允许在运行Android 5.0棒棒糖和Up的设备上注入恶意代码并获得root访问权限。
这个新的公告似乎是一大块现有的StageFright紧急补丁无能为力,令人不安,因为我们被留下了印象,即没有任何新的Android建造将受到更多影响。然而,现有的措施远非无用,因为它们似乎几乎完全修补了以前的MMS递送方法。如果黑客使用这些新的后门,那么如果设备位于同一网络上,理论上,它就会通过网络钓鱼,恶意应用程序和广告的方法来通过网络浏览器。
现在我们都充分害怕,这是好消息。首先,就像原始的STAYFRIGHT漏洞一样,这一新批量不太可能在实际利用中使用,特别是因为Joshua J. Drake of Zimperium以来,很大程度上负责揭示问题,这次已经决定谨慎谨慎周围而不分享概念验证,为普通公众提供这种新漏洞。即使是公司的原始StageFringT检测器应用程序也将在谷歌开发补丁后才能收到更新以才能挑选新威胁。
考虑到所有事情,我们作为最终用户,应该真的很担心这一点。
