又有 Stagefright bug。今次这个 Bug 可以由一个 MP3 或 MP4 档案触发发,而攻击者就可借此控制手机。
Zimperium Labs 表示,攻击者只要用用家传送一个经改动的 MP3 或 MP4 档案,只要一预览这个档案,攻击者就可经由 Stagefright 保安漏动控制手机。其中一个情况就是将这个 MP3 或 MP4 放在网上,引诱用家上网点按就会中招。
这个保安漏洞,影响遍及所有的 Android 系统,而另一个相关的漏洞亦可影响 Android 5.0 Lollipop。
Meet Stagefright 2.0, a set of two vulnerabilities that manifest when processing specially crafted MP3 audio or MP4 video files. The first vulnerability (in libutils) impacts almost every Android device since version 1.0 released in 2008. We found methods to trigger that vulnerability in devices running version 5.0 and up using the second vulnerability (in libstagefright).
Nexus 机十月修正
Zimperium Labs 已将有关的保安问题通知 Google。针对 Nexus 机的 Monthly Security Patch 会修复这个问题,并会在十月向 Nexus 机发布。而其他手机厂商亦已收到这个 Patch,应会稍后向手机/平板推送更新。
Source: Zimperium