Компания Google представила обновления для двух недавно обнаруженных уязвимостей Stagefright, одна из которых затрагивает версии Android вплоть до 2008 года, ставя под угрозу аппараты более миллиарда пользователей. Обнаружила уязвимости компания Zimperium, она же нашла и их первое поколение в апреле. Google пишет, что свидетельств использования очередных уязвимостей не обнаружено.
Новые угрозы немногим менее опасны по сравнению с предыдущими, позволяя скомпрометировать устройства специально созданными сообщениями MMC. Атакующий при этом должен знать номер телефона жертвы. Также он должен заставить пользователя перейти на определённую страницу и воспроизвести аудио или видео. Уязвимость связана с процессом обработки Android метаданных внутри контента. В начале сентября Google выпустила обновление безопасности для устройств серии Nexus и уведомила об уязвимости своих аппаратных партнёров. У Zimperium есть эксплоит в качестве доказательства своих открытий, которым она собирается поделиться в этом месяце.
Именно в свете масштаба уязвимостей Stagefright, Google и ряд производителей смартфонов на платформе Android приняли решение выпускать ежемесячные обновления безопасности, хотя не все компании готовы последовать их примеру. Подобная практика обновлений уже много лет используется компанией Microsoft для её программных продуктов, включая операционные системы Windows.
Кроме того, на этой неделе начинается распространение Android 6.0 на устройствах Nexus.