你正在浏览:电脑问题网 > 电脑基础 > 电脑百科 > stagefright是什么 stagefright漏洞框架BUG

stagefright是什么 stagefright漏洞框架BUG

  • 来源:电脑问题网
  • 作者:电脑百科
  • 审核:志强网络科技有限公司
  • 时间:2015-09-11 12:36
  • 阅读:
  电脑问题网-电脑百科 Stagefright BUG
 
  Stagefright是影响版本2.2 (代号"Froyo")的远程攻击软件 bug和更新的Android 操作系统,并允许攻击者执行任意操作通过远程执行代码和特权升级受害者设备上的。安全研究人员演示向受害者装置及其在大多数情况下发送巧尽心思构建的MMS彩信的概念验证bug 需要没有收到消息,要取得成功,同时使用的电话号码作为唯一的目标信息的最终用户操作。
 
stagefright是什么
 
  安卓系统的核心组件中的某些整数溢出漏洞利用潜在的攻击媒介称之为"怯场",[6][7][]是一个复杂的软件库主要落实在c + +作为Android 开源项目(由) 的一部分,作为如MP4文件播放各种多媒体格式的后端引擎。 
 
  该 bug 已提供了多个CVE 标识符、CVE-2015年-1538年、CVE-2015年-1539年、CVE-2015年-3824、CVE-2015年-3826,CVE-2015年-3827,CVE-2015年-3828 和 CVE-2015年-3829,集体被称为怯场 bug。
 
  Stagefright BUG 历史
 
  Stagefright BUG bug 从Zimperium安全公司,由约书亚德雷克发现和在 2015年7月27 日第一次公开宣布了。在公告发布之前德雷克上报 bug谷歌在 4月到 2015年,两天后该报告纳入其内部来源代码存储库相关的修正了。在 2015 年 7 月,叶夫根尼 Legerov,莫斯科基于安全研究员,宣布他在怯场库中,发现至少两个类似堆溢出零日漏洞声称在图书馆已经用于一段时间的同一时间。Legerov 也证实,他发现的安全漏洞成为不可利用由应用修补程序提交给谷歌的德雷克。
 
  Stagefright bug,提出德雷克,公众充分披露发生在 2015 年 8 月 5 日在黑帽子美国电脑安全会议上,而在 2015 年 8 月 7 日在DEF CON 23[14]   黑客大会上。后披露,在 2015 年 8 月 5 日 Zimperium 公布源代码的概念验证漏洞、 怯场图书馆实际修补程序 (虽然修补程序已经公开自五月 2015 年初由和其他开放源码库[15][16]),和 Android 的应用程序称为"怯场探测器"测试 Android 设备是否脆弱到怯场 bug。
 
  作为 2015 年 8 月 3 日只有少数产品实际上修补对 bug: Blackphone PrivatOS以来 117,夜间发布CyanogenMod 12.0 和 12.1,冲刺 (sprint)备选案文的三星银河注 4,和Mozilla 的火狐以来其版本 38(此web 浏览器在内部使用 Android 的怯场图书馆) 的版本。 
 
  Stagefright 所涉问题
 
  虽然谷歌安卓系统的主代码库,各种 Android 设备的固件更新是无线运营商和原始设备制造商(Oem) 的责任。因此,经常传播到实际设备的修补程序介绍了长时间的拖延,由于制造商、 设备变形、 Android 版本和由厂家; 各种 Android 自定义项之间的大碎片此外,很多较旧的设备可能永远不会接受在所有补丁固件。因此,Stagefright bug 的性质突显出与传播的 Android 修补程序相关的技术和组织困难。 
 
  作为尝试解决拖延和与传播的 Android 修补程序相关的问题,在 2015 年 8 月 1 日 Zimperium 形成Zimperium 手机联盟(闸) 作为协会的不同人士有兴趣交换信息和接收安卓系统的与安全有关的问题的及时更新。成员的咋还收到 Zimperium 的概念证明怯场开发源代码公开发布之前。作为 2015年8月6日25 的最大的安卓设备 Oem 和无线运营商加入了闸。 
 
  Stagefright 修复防止
 
  某些缓解怯场 bug 的存在为运行未安装修补程序的版本的 android 系统,包括禁用 MMS 彩信的自动检索和阻塞的文本消息来自未知发件人接收的设备。然而,这些缓解不支持在所有 MMS 应用程序 (例如,视频群聊,支持前者),和他们并不涵盖所有可行使剥削怯场 bug 可能通过其他手段,如通过开放或下载恶意的多媒体文件,使用该设备的web 浏览器的攻击媒介。
 
  进一步缓解来自于一些较新版本的 Android 可能有助于使怯场 bug 的开发更加困难; 内置的安全功能一个例子是地址空间布局随机化(ASLR) 功能,引入Android 4.0"冰淇淋三明治"中,并完全启用在Android 4.1"果冻豆"。因此,更新到最新版本的 android 系统,可以帮助减轻这一问题,虽然截至 2015 年7月28日它是未知的是否最新版本的Android 5.1"棒棒糖"包括实际针对怯场 bug 补丁。
 
[本文来自电脑问题网-亚洲最大.最全.最实用的电脑问题技术网站,永久网址http://www.pcwenti.com,转载本文务必注明来源。]