A Stagefright javítás nem teljes, a már patchelt Android eszközök is sebezhetőek

Címkék

Kiderült, hogy a Stagefright sebezhetőséget felfedező Zimperium alkalmazottja, Joshua Drake egyik javítása nem lett tökéletes, így a már patchelt Android eszközök is sebezhetők. A Google tegnap javítást tett közzé és elküldte azt a partnereinek. A Nexus 4/5/6/7/9/10 és Nexus Player eszközök a szeptemberi havi biztonsági frissítés keretében kapják meg OTA a javítást.

A javításban levő hibát Jordan Gruskovnjak, az Exodus szakembere vette észre. Joshua Drake arra számít, hogy további javítások érkeznek majd a Stagefright kódbázisához a következő hónapokban. Szerinte a sztorinak messze nincs vége.

Az Exodus augusztus 7-én, a Las Vegas-i DEF CON első napján értesítette a Google-t a problémáról. Ez két nappal Drake Black Hat konferencián tartott Stagefright előadása után volt. A sebezhetőség a CVE-2015-3864 azonosítót kapta.

A részletek itt olvashatók.

Hozzászólások

http://www.cyanogenmod.org/blog/more-stagefright

The issue described in the the latest publication of Stagefright issues (link) has been patched in source for CM 10.1 -> 12.1. Nightlies for 12.1 beginning tonight (~2hours) will include this fix, in addition to all the other exploits that came as a result of Stagefright and DefCon/Blackhat.

--
trey @ gépház

Gyönyörű.
A szeptemberi frissítés a legjobb esetben is fél hónap múlva lesz, de lehet az 1,5 hónap is.
Kedves gúgel: lépj hátra és baszd arcon magad...

:)

Sokan köpködték itt a gógelt mindenféle konkrétumok nélkül, főleg fasságok alapján. Pl. amikor megjegyeztem, hogy a gógel "vadászgépe" (mármint egyik té fórumtárs szerint) valójában egy sugárhajtású kiképzőgép, akkor persze én voltam az elvakult gógelfan. Azóta Linus is hasonlóval repked, de mindegy is.

Nem ez a lényeg, ez csak egy példa. A gógel csak egy cég, és mint olyan vannak dolgai. Vannak amiket jól csinál, vagy legalább elfogadhatóan, és vannak amiket nem.
Ez a "majd szeptemberben javítjuk" hozzáállás az utóbbiak közé tartozik.

Azért azt megjegyezném, hogy a Google a javítást már elkészítette, azt a partnereinek átadta, így ha azok akarnak, viszonylag rövid idő alatt léphetnek. Volt, aki már aznap kitolta a javítást az éjszakai buildjében.

Az, hogy a jövő hónapban jön a javítás, az sajnálatos, de semmiképpen sem nevezhető az iparágban egyedülálló jelenségnek. Ott van (vagy volt, a rossebb sem tudja már követni) a patch kedd például.

Illetve, nekem a kommunikációból az jön le, hogy a Google nem érzi akkora tragédiának a Stagefright-ot, mint amekkora a hype körülötte. Az ASLR-re hivatkoznak, ami miatt nem triviális a kihasználás. Illetve, gondolom folyamatosan monitorozzák a helyzetet és nem látják, hogy kihasználnák a hibát.

Természetesen az lenne a legjobb, ha másnap vagy még aznap javítanák az ilyen sebezhetőségeket.

--
trey @ gépház

"A Nexus 4/5/6/7/9/10 és Nexus Player eszközök a szeptemberi havi biztonsági frissítés keretében kapják meg OTA a javítást."

Ez mind szép és jó, és nagyon fasza, hogy havonta vannak patchelések, de addig akkor mindenki vulnerable... nem kéne ezeket instant foltozni amilyen gyorsan csak lehet? Miért kell egy menetrend szerinti tervhez igazítani ilyenkor a frissítést?!

Nos, én még mind azt mondom, hogy ez eleve egy Google backdoor. Na most a Googleos is srácok kurva nagy szarban vannak, mert úgy kéne valamit végleg javítani, amit eleve beletettek a rendszerbe, hogy valami másikat nyissanak meg. Másképp nem tudom egyszeri felhasználóként megmagyarázni azt, hogy megint ekkora hibát vétettek.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

És hogyan lopják el az adatot akkor? SMS-ben elküldi egy adott számra? Betárcsázós neten elcsiripeli?
Ezek mind benne lehetnek egy három évvel ezelőtti Play Servicesben - s annak a kódját nem túrhatja a fél net.

De, persze, tudom, ezzel a hibával is lebuktattuk a mocskos imperalistákat, s tovább gyengítjük a háttérhatalom erődítményét...
--
blogom