HKCert
  

Android Stagefright 媒體程式庫遠端執行程式碼漏洞

發布日期: 29 / 07 / 2015
最後更新: 29 / 07 / 2015
風險程度:  


在 Android 的 Stagefright 媒體程式庫中發現多個漏洞。遠端攻擊者可透過傳送特製多媒體短訊(MMS)或媒體檔案,利用漏洞在目標系統執行任意程式碼。

 

注意

  • 概念驗證或漏洞利用程式碼可能於 2015-08-05 舉行的 BlackHat USA 發佈。
  • 軟件供應商暫未有提供有關更新。請參考臨時解決方案。
  • 遠端執行程式碼
  • Android 2.2.x 至 5.1.x
  • 關於修補程式
    • 有報導指 Google 已針對漏洞提供修補程式。但由於各裝置廠商會就 OTA 更新作出不同安排,因此 HKCERT 仍判斷為暫時未有修補程式。
    • 請留意某些廠商不會為較舊的裝置型號提供修補程式。詳情請聯絡廠商。
       
  • 臨時解決方案
    1. 若你的短信應用程式未有支援上述的選項,請在"設定"下的"SMS"/"多媒體信息"中,關閉"自動擷取"選項。
      注意:就上述辦法,以下連結可能提供不同裝置型號的操作步驟:
      https://www.twilio.com/blog/2015/07/how-to-protect-your-android-device-from-stagefright-exploit.html
    注意:使用以下 3 個方案,有機會令你遺失傳送給你的重要資訊。決定選用任何方案前請先評估風險。
    1. 阻擋所有不名發送者的短訊。你一般可以在"設定"中啟用此選項。
    2. 不要開啟不明來歷的 MMS 短訊。
    3. 移除 Access Point Name(APN)內所有 MMS 相關設定。