スマホ関連の海外ニュースです。
が8月にスターフライトバグの最後を耳にしたと判断した場合は、もう一度考えてみてください。
Google後2ケ月未満は最初にこの脆弱性を明らかにした研究者たちが、Androidデバイスに別の深刻で広範な脅威を発見して発表した「世界最大のソフトウェア更新」の脆弱性に取り組んだ。
「スターフィート2.0対応、特別処理時に発生する脆弱性2件のセットは、MP3オーディオやMP4動画ファイルを巧妙に細工された」と、モバイルセキュリティ会社ツインペリウムはBlogの中で述べている。
2負荷の最初の脆弱性は、すべてのAndroid機器バージョン1.0以降、2008年に釈放され、研究者たちは述べている。一緒に、2のバグは、攻撃者が特別に細工されたMP3又はMP4ファイルを介して影響を受けるデバイス上で任意のコードを実行することを許可できます。
研究者たちが、Android5.0以降を実行しているデバイスの脆弱性を悪用する方法を見つけたのですが、古いデバイスはメディア・プレーヤーのような第3パーティアップスや脆弱なライブラリを使用しているウェブサイトのほか、インスタントメッセンジャー、またはデバイスにプレロードされたその他の搬送機能を使用して、影響を受ける可能性があります。バグはファイル内にメタデータの処理方法にある、「楽曲やビデオをプレビューするだけで問題を引き起こすことになろう」と述べた。
攻撃者は、悪意のあるURL、モバイル・スピアフィッシング詐欺サイトまたは悪意のある広告キャンペーンなどを訪問する疑いを持たないユーザを説得して後の脆弱性は、Webブラウザを使用して不正利用される可能性が最も高いでしょう。
ツインペリウムは8月15日上の問題に関するGoogleのAndroidセキュリティ・チームに通知され、パッチはまだ利用できませんが、「いち早く対応して修正に移った」と述べている。Googleはパッチを発行するとセキュリティー会社は、一般大衆の脆弱性の実証を共有しないというが、そのスターフライト検出アプリケーションを更新して脆弱性を特定します。
「われわれは、ベンダー各社が早急に修正を組み込むために、Android搭載デバイスを更新するよう促す」とツインペリウム氏は書いている。
一方、同社は、これはスターフライトの最後ではありません」と警告した。「スターフライトライブラリとそれに関連したライブラリ内に存在するさまざまな脆弱性が検討されている多くの研究者として、同じ地域でも多くの脆弱性が期待され,」ツインペリウム氏は書いている。「多くのコミュニティで研究者たちは、Googleは報告されたバグ、重複したまたはすでに内部的に発見したと答えた」と話した。
先月ツインペリウム初期スターフライト脆弱性の詳細を発表した。一般大衆に利用可能なコード化できる「セキュリティ・チーム、管理者、およびかどうか侵入テスターもーーテストシステムは、脆弱なまま」ツインペリウム氏は述べた。
続きを読む…
Stagefright 2.0 Targets Nearly Every Single Android Device
If you thought you heard the last of the Stagefright bug back in August, think again. Less than two months after Google tackled the vulnerability with the “world’s largest software update,” the researchers who first disclosed the flaw announced they have discovered another serious, widespread threat to Android devices. “Meet Stagefight 2.0, a set of two vulnerabilities that manifest when processing specially crafted MP3 audio or MP4 video files,” mobile security firm Zimperium wrote in a blog post.
Read more…
