新的StepFright利用将数百万Android设备造成风险

在研究人员找到一种新的方式以利用以前由Google修补的较旧漏洞的新方法，数百万台Android设备尚未出现风险。

基于以色列的Herzliya的北向北发表了一篇概述的隐喻，这是一个绰号，一个绰号，他们在StandFright，Android的SediaServer和多媒体库中找到了一个新的弱点。

北北人表示，该攻击对运行Android版本2.2至5.0和5.1的设备有效。

该公司表示，它的攻击在Google“S Nexus 5中最适合股票ROM，并且对HTC的一个，LG”S G3和三星S5的一些修改。

该攻击是为CVE-2015-3864开发的其他开发的攻击，一个远程代码执行漏洞由Google修补两次。

安全公司Zimperium在2015年初发现了原始的StageFright缺陷，影响了数百万设备。谷歌已经不得不多次发出补丁和修复研究人员继续找到的STAINFRIGHT的问题。

Zuk Avraham，CTO和Zimperium的创始人通过电子邮件发送了他的公司扣除了第二次利用它为StageFright而开发的，由于它提出的风险以及仍然受到影响的大量设备。

但是，北北方的研究论文“为专业的黑客团体提供了足够的细节，以完成充分的工作和可靠的利润，”他说。

Northbit发布了一个成功攻击的视频，这需要一些社会工程。必须欺骗受害者单击一个链接，然后在漏洞运行时留在该网页上。爆炸性可以在几秒钟内需要花费几秒钟即可完成其工作。

在视频中，正在使用Nexus 6的受害者打开一个通往猫照片的链接，而Northbit展示了漏洞的漏洞。

在Android版本5.0和5.1上，漏洞利用将绕过ASLR（地址空间布局随机化），旨在使利用更加困难。

北向北估计约235,000,000个Android设备运行版本5.0和5.1，大约40,000,000台设备运行了一些2.x版本的Android，没有ASLR。

“看着这些数字，很难理解有多少设备潜在脆弱，”北北北·写道。

部分是为了响应StepFight构成的危险，谷歌在八月表示，它将转移到每月修补计划，并与主要的Android供应商更接近，以确保更新修补。

谷歌可能会很快发出补丁，在电子邮件中写下Veracode的Research副总裁Chris Eng。但是StageFight补丁的分布已经存在。

“修补应用程序漏洞对Android社区具有不同的制造商和运营商的数量尤其具有挑战性，因此负责向设备发出补丁的责任，”eng说。

谷歌无法立即达成评论。

（CSO的Steve Ragan为此报告做出了贡献。）