Google patches kritiske mediefejl i Android

Nye sikkerhedsrettelser til Googles Nexus-enheder adresserer syv sårbarheder, hvoraf to er kritiske og kan tillade fjernkørsel af fjernbetjeninger, når der håndteres mediefiler.

De opdateringer, der blev udgivet mandag, er en del af af Googles nylig indførte månedlige patchcyklus og er tilgængelige for Nexus-enheder, der kører både Android 5.1 (Lollipop) og 6.0 (Marshmallow). Kildekoden til rettelserne vil også blive tilføjet til Android Open Source Project (AOSP) i løbet af de næste 48 timer.

De mest alvorlige fejl patched i denne udgave spores som CVE-2015-6608 og CVE-2015-6609 , og er placeret i henholdsvis mediaserveren og libutils-komponenterne i Android. Begge sårbarheder kan udnyttes eksternt ved hjælp af specialdesignede mediefiler.

[Yderligere læsning: Sådan fjerner du malware fra din Windows-pc]

Hackere kan på fjernbetjening udnytte sårbarhederne på flere måder, herunder at sende MMS-beskeder og narre brugere til at afspille medier i browseren.

Disse er bare de seneste i en række kritiske sårbarheder, der er fundet og patchet i Android's medieafspilningskomponenter siden juli, hvor en sårbarhed i et bibliotek kaldet Stagefright førte til en større koordineret patchingindsats fra Android-enhedsproducenter og bad Google, Samsung og LG om at indføre månedlige sikkerhedsopdateringer.

Faktisk er tre andre fejl i denne nye opdatering, der vurderes som høj sværhedsgraden, placeret i mediaserver, libstagefright og libmedia - alle medieforarbejdningskomponenter. De resterende to sårbarheder findes i Bluetooth- og telefonkomponenterne.

Google bemærker, at dens alvorlighedsvurdering ikke tager højde for de afbødninger, der kan gøre udnyttelsen af ​​sådanne fejl vanskeligere. De omfatter Verify Apps og SafetyNet-tjenester, der overvåger potentielt skadelige applikationer, deaktivering af automatisk mediebehandling i applikationer som Google Hangouts og Messenger og metoder til bekæmpelse af udnyttelse i nyere versioner af Android.