Google oppdaterer feil i kritisk mediebehandling i Android

Nye sikkerhetsoppdateringer for Googles Nexus-enheter adresserer syv sårbarheter, hvorav to er kritiske og kan tillate ekstern kjøring av kode ved håndtering av mediefiler.

Oppdateringene, utgitt på mandag, er en del av Googles nylig introduserte månedlige patch-syklus og er tilgjengelig for Nexus-enheter som kjører både Android 5.1 (Lollipop) og 6.0 (Marshmallow). Kildekoden for reparasjonene vil også bli lagt til i Android Open Source-prosjektet (AOSP) i løpet av de neste 48 timene.

De alvorligste feilene som er lappet i denne utgaven, spores som CVE-2015-6608 og CVE-2015-6609 , og ligger i henholdsvis mediaserver og libutils-komponentene i Android. Begge sårbarhetene kan utnyttes eksternt gjennom spesialdesignede mediefiler.

[Videre lesing: Slik fjerner du skadelig programvare fra din Windows-PC]

Hackere kan på ekstern måte utnytte sikkerhetsproblemene, blant annet ved å sende MMS-meldinger og lure brukere til å spille av medier i nettleseren.

Disse er bare de siste i en rekke kritiske sikkerhetsproblemer som ble funnet og patchet i Android-avspillingsmedier fra Android siden juli, da et sikkerhetsproblem i et bibliotek som heter Stagefright, førte til en stor koordinert patchinginnsats fra Android-enhetsprodusenter og oppfordret Google, Samsung og LG til å introdusere månedlige sikkerhetsoppdateringer.

Faktisk er tre andre feil i denne nye oppdateringen som er vurdert som høy grad, plassert i mediaserver, libstagefright og libmedia - alle mediekomponenter. De resterende to sårbarhetene er i Bluetooth- og telefonkomponentene.

Google konstaterer at dens alvorlighetsvurdering ikke tar hensyn til de begrensninger som kan gjøre det vanskeligere å utnytte slike feil. De inkluderer Verify Apps og SafetyNet-tjenestene som overvåker potensielt skadelige applikasjoner, deaktiverer automatisk mediebehandling i applikasjoner som Google Hangouts og Messenger, og anti-utnyttingsteknikker som finnes i nyere versjoner av Android.