又有 Stagefright bug。今次這個 Bug 可以由一個 MP3 或 MP4 檔案觸發發,而攻擊者就可藉此控制手機。
Zimperium Labs 表示,攻擊者只要用用家傳送一個經改動的 MP3 或 MP4 檔案,只要一預覽這個檔案,攻擊者就可經由 Stagefright 保安漏動控制手機。其中一個情況就是將這個 MP3 或 MP4 放在網上,引誘用家上網點按就會中招。
這個保安漏洞,影響遍及所有的 Android 系統,而另一個相關的漏洞亦可影響 Android 5.0 Lollipop。
Meet Stagefright 2.0, a set of two vulnerabilities that manifest when processing specially crafted MP3 audio or MP4 video files. The first vulnerability (in libutils) impacts almost every Android device since version 1.0 released in 2008. We found methods to trigger that vulnerability in devices running version 5.0 and up using the second vulnerability (in libstagefright).
Nexus 機十月修正
Zimperium Labs 已將有關的保安問題通知 Google。針對 Nexus 機的 Monthly Security Patch 會修復這個問題,並會在十月向 Nexus 機發佈。而其他手機廠商亦已收到這個 Patch,應會稍後向手機/平板推送更新。
Source: Zimperium