Фирма Zimperium сообщила о новой уязвимости в операционной системе Android. Она назвала ее Stagefright 2.0.
Stagefright 2.0 — две ошибки, которые проявляются при воспроизведении специальным образом подготовленных файлов MP3 и MP4. Первая уязвимость содержится в одной из библиотек и присутствует во всех версиях системы, начиная с 1.0. Также она сохраняется и в новых устройствах, ПО которых уже модифицировано, чтобы исправить уязвимость библиотеке libstagefright, которая используется для воспроизведения медиа-файлов. В этой же библиотеке находится и вторая ошибка, о которой сообщается в рамках Stagefright 2.0.
Сочетание двух уязвимостей позволяет злоумышленнику запустить вредоносный кол, используя модифицированные видео и аудиофайлы на Android 5.0 и более поздних версиях. Устройства с более ранними версиями системы могут быть взломаны с помощью только первой уязвимости.
Уязвимости проявляются при обработке метаданных, вставленных в медиафайлах. Так как Google уже закрыла возможность атаки через Hangouts и Messenger, остается возможность взлома с использованием браузера.
Google обещает устранить уязвимости в очередном обновлении в течение ближайших недель.
