Android Stagefright 媒體程式庫遠端執行程式碼漏洞
最後更新
2015年07月29日 11:09
發佈日期:
2015年07月29日
4835
觀看次數
風險: 極高度風險
類型: 操作系統 - 流動裝置及操作系統
在 Android 的 Stagefright 媒體程式庫中發現多個漏洞。遠端攻擊者可透過傳送特製多媒體短訊(MMS)或媒體檔案,利用漏洞在目標系統執行任意程式碼。
注意:
- 概念驗證或漏洞利用程式碼可能於 2015-08-05 舉行的 BlackHat USA 發佈。
- 軟件供應商暫未有提供有關更新。請參考臨時解決方案。
影響
- 遠端執行程式碼
受影響之系統或技術
- Android 2.2.x 至 5.1.x
解決方案
- 關於修補程式:
- 有報導指 Google 已針對漏洞提供修補程式。但由於各裝置廠商會就 OTA 更新作出不同安排,因此 HKCERT 仍判斷為暫時未有修補程式。
- 請留意某些廠商不會為較舊的裝置型號提供修補程式。詳情請聯絡廠商。
- 臨時解決方案:
- 若你的短信應用程式未有支援上述的選項,請在"設定"下的"SMS"/"多媒體信息"中,關閉"自動擷取"選項。
注意:就上述辦法,以下連結可能提供不同裝置型號的操作步驟:
https://www.twilio.com/blog/2015/07/how-to-protect-your-android-device-from-stagefright-exploit.html
- 阻擋所有不名發送者的短訊。你一般可以在"設定"中啟用此選項。
- 不要開啟不明來歷的 MMS 短訊。
- 移除 Access Point Name(APN)內所有 MMS 相關設定。
- 若你的短信應用程式未有支援上述的選項,請在"設定"下的"SMS"/"多媒體信息"中,關閉"自動擷取"選項。
漏洞識別碼
資料來源
相關連結
- http://blog.zimperium.com/experts-found-a-unicorn-in-the-heart-of-android/
- http://www.zdnet.com/article/stagefright-just-how-scary-is-it-for-android-users/#ftag=RSSbaffb68
- http://www.kb.cert.org/vuls/id/924951
- https://www.twilio.com/blog/2015/07/how-to-protect-your-android-device-from-stagefright-exploit.html
分享至