2 oct. 2015

Stagefright 2: nueva vulnerabilidad crítica en Android, al ejecutar MP3 y MP4

Nuevamente se han descubierto vulnerabilidades en la manera en que Android procesa archivos multimedia. Estas vulnerabilidades pueden permitir a los atacantes comprometer los dispositivos al engañar a los usuarios a visitar ciertas páginas web maliciosas. A esta nueva vulnerabilidad la han llamado Stagefright 2.

Según los investigadores de empresa Zimperium, la vulnerabilidad puede conducir a la ejecución remota de código (RCE) en casi todos los dispositivos que corren Android, a partir de la versión 1.0 del sistema operativo lanzado en 2008 hasta la última 5.1.1. Las fallas se encuentran en la manera en que Android procesa los metadatos de archivos de audio MP3 y videos MP4, y puede ser explotados cuando una aplicación visualiza estos tipos de archivos.

Los investigadores de Zimperium ya habían encontrado una deficiencia similar en el procesamiento de archivos multimedia a principios de este año en una biblioteca Android llamada Stagefright, la cual puede ser explotada al enviar un mensaje MMS creado malintencionadamente. 

Una de las fallas descubiertas recientemente por Zimperium se encuentra en una biblioteca base de Android llamada libutils y afecta a casi todos los dispositivos que ejecutan Android con versiones anteriores a la 5.0  y también puede ser explotada en Android Lollipop (5.0-5.1.1) combinando con un nuevo error encontrado en la biblioteca libstagefright.

Debido a que el vector de ataque anterior a través de MMS fue bloqueado en versiones recientes y para solucionar Stagefright, el método de explotación más sencilla para las nuevas vulnerabilidades es a través del navegador web. Los atacantes podrían engañar a los usuarios a visitar sitios web que explotan el defecto a través de enlaces de correo electrónico y mensajería instantánea o a través de anuncios maliciosos en sitios web legítimos.

Los reproductores multimedia de terceros o aplicaciones que dependen de la biblioteca de Android vulnerable, también podrían ser utilizado como un vector de ataque.

Zimperium informó de los fallos a Google el pasado 15 de agosto, se le asignó el CVE-2015-3876 y CVE-2015-6602 y planea publicar la prueba de concepto una vez que la empresa publique la solución el próximo 5 de octubre, como parte de una nueva actualización mensual y programada de Android.

Una vez que los parches estén disponibles, Zimperium planea actualizar su aplicación gratuita Stagefright Detector para permitir la detección de los defectos.

Actualización 06/10: Google ha solucionado la vulnerabilidad pero ahora falta que la solución llegue a los usuarios.

Fuente: Zimperium

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!