A Google javítja a kritikus médiakezelési hibákat az Androidban

A Google Nexus-eszközökkel kapcsolatos új biztonsági javítások hét sebezhetőséget érintenek, amelyek közül kettő kritikus, és távoli kódfuttatást tesz lehetővé a médiafájlok kezelése során.

A hétfőn kiadott frissítések részei a Google nemrégiben bevezetett havi futtatási ciklusát, és az Android 5.1 (Lollipop) és a 6.0 (Marshmallow) futó Nexus eszközök számára is elérhető. A javítások forráskódját a következő 48 órában az Android Open Source Project (AOSP) is hozzáadja.

A legjelentősebb hibákat a kiadás során a CVE-2015-6608 és a CVE-2015-6609 , és az Android Android MediaServer és Libutils összetevőin találhatók. Mindkét sebezhetőség távolról is kihasználható speciálisan kialakított médiafájlok segítségével.

[További olvasnivalók: A rosszindulatú programok eltávolítása a Windows PC-ről]

A hackerek többféleképpen is kihasználhatják a sebezhetőségeket, beleértve az MMS-üzenetek küldését és a felhasználók általi trükközést a média a böngészőben.

Ezek csak a legutóbbiak egy sor olyan kritikus sérülékenységgel, amelyet az Android médialejátszó komponensei találtak és javítottak július óta, amikor egy sebezhetőség a Stagefright nevű könyvtárban az Android készülékek gyártói és koordinátorai között arra késztette a Google-t, a Samsungot és az LG-t, hogy havi biztonsági frissítéseket mutassanak be.

Valójában három, a súlyossági besorolást megelõzõ hiba a mediaserverben, a libstagefrightban és a libmedia-ban található. A fennmaradó két sérülékenység a Bluetooth és a Telephony összetevőkben található.

A Google megjegyzi, hogy súlyossági felmérése nem veszi figyelembe az enyhítéseket, amelyek nehezebbé teszik az ilyen hibákat. Ezek magukban foglalják a Verify Apps és a SafetyNet szolgáltatásokat, amelyek figyelik a potenciálisan káros alkalmazásokat, kikapcsolják az automatikus médiafeldolgozást olyan alkalmazásokban, mint a Google Hangouts és a Messenger, valamint az Android újabb verzióiban megjelenő kizsákmányolás-technikák.