WhiteHat News #ID:0911
VIP Members
-
30/07/2014
-
79
-
711 bài viết
Bản vá lỗi Stagefright của Google vẫn... dính lỗi
Theo các nhà nghiên cứu của Exodus Intelligence, ngay chính bản vá lỗi an ninh Stagefright mà Google phát hành cho các thiết bị Android vẫn đang tồn tại những lỗ hổng để hacker khai thác.
Gần một tỷ thiết bị Android đang gặp nguy hiểm vì lỗ hổng an ninh Stagefright, tuy nhiên, ngay cả khi bản vá lỗ hổng này đã được Google và các nhà sản xuất phát hành tới người dùng, vấn đề vẫn chưa được giải quyết triệt để.
Theo các nhà nghiên cứu của Exodus Intelligence, ngay chính bản vá lỗi của Google vẫn đang tồn tại những lỗ hổng để hacker khai thác. Hãng này cho biết họ đã tiến hành các thử nghiệm và làm crash thành công một thiết bị Android thông qua file video MP4 gửi bằng MMS. Hiện chưa rõ lỗ hổng này có thể bị khai thác để phục vụ việc thực thi mã và làm tắt máy từ xa hay không.
Google cũng lên tiếng xác nhận phát hiện nói trên, đồng thời cho biết bản vá lỗi thứ hai đã được phát hành tới người dùng. "Chúng tôi đã gửi bản vá tới các đối tác (nhà sản xuất thiết bị Android) để bảo vệ người dùng. Từ tháng 9/2015, các máy Nexus 4/5/6/7/9/10 và Nexus Player sẽ nhận được bản cập nhật OTA hàng tháng để sửa lỗi an ninh" - Google cho biết.
Tuy nhiên, Google gửi đi là một chuyện, còn việc nhà sản xuất thiết bị Android có update bản vá thứ hai cho người dùng ngay lập tức hay không vẫn đang là một câu hỏi chưa có lời đáp. Google cũng nhấn mạnh rằng trên Android được tích hợp công nghệ Address Space Layout Randomization có thể giúp bảo vệ thiết bị Android khỏi các cuộc tấn công từ lỗ hổng Stagefright.
Exodus công khai phát hiện của mình chỉ sau chưa đầy 1 tuần phát hiện ra. Điều này tưởng chừng như đã vi phạm "nguyên tắc": Nhà nghiên cứu an ninh chỉ công khai lỗ hổng sau 30 ngày để các nhà cung cấp dịch vụ (trong trường hợp này là Google) có thời gian phát triển bản vá. Nhưng Exodus cho biết trên blog của mình rằng họ xem lỗ hổng mới này là một phần của Stagefright vốn đã xuất hiện từ cách đây hơn 120 ngày.
Theo ICTnews
Tin liên quan:
Khai thác lỗ hổng Stagefright mà không cần gửi MMS
Gần một tỷ thiết bị Android đang gặp nguy hiểm vì lỗ hổng an ninh Stagefright, tuy nhiên, ngay cả khi bản vá lỗ hổng này đã được Google và các nhà sản xuất phát hành tới người dùng, vấn đề vẫn chưa được giải quyết triệt để.
Theo các nhà nghiên cứu của Exodus Intelligence, ngay chính bản vá lỗi của Google vẫn đang tồn tại những lỗ hổng để hacker khai thác. Hãng này cho biết họ đã tiến hành các thử nghiệm và làm crash thành công một thiết bị Android thông qua file video MP4 gửi bằng MMS. Hiện chưa rõ lỗ hổng này có thể bị khai thác để phục vụ việc thực thi mã và làm tắt máy từ xa hay không.
Google cũng lên tiếng xác nhận phát hiện nói trên, đồng thời cho biết bản vá lỗi thứ hai đã được phát hành tới người dùng. "Chúng tôi đã gửi bản vá tới các đối tác (nhà sản xuất thiết bị Android) để bảo vệ người dùng. Từ tháng 9/2015, các máy Nexus 4/5/6/7/9/10 và Nexus Player sẽ nhận được bản cập nhật OTA hàng tháng để sửa lỗi an ninh" - Google cho biết.
Tuy nhiên, Google gửi đi là một chuyện, còn việc nhà sản xuất thiết bị Android có update bản vá thứ hai cho người dùng ngay lập tức hay không vẫn đang là một câu hỏi chưa có lời đáp. Google cũng nhấn mạnh rằng trên Android được tích hợp công nghệ Address Space Layout Randomization có thể giúp bảo vệ thiết bị Android khỏi các cuộc tấn công từ lỗ hổng Stagefright.
Exodus công khai phát hiện của mình chỉ sau chưa đầy 1 tuần phát hiện ra. Điều này tưởng chừng như đã vi phạm "nguyên tắc": Nhà nghiên cứu an ninh chỉ công khai lỗ hổng sau 30 ngày để các nhà cung cấp dịch vụ (trong trường hợp này là Google) có thời gian phát triển bản vá. Nhưng Exodus cho biết trên blog của mình rằng họ xem lỗ hổng mới này là một phần của Stagefright vốn đã xuất hiện từ cách đây hơn 120 ngày.
Theo ICTnews
Khai thác lỗ hổng Stagefright mà không cần gửi MMS
Chỉnh sửa lần cuối bởi người điều hành: