:

Szerző: Gálffy Csaba

2015. augusztus 14. 12:01

Stagefright: hibás a kiadott javítás

Hatalmas bakit vétett a Google biztonsági csapata, a Stagefright sebezhetőségre kiadott javítás hatástalan, a beiktatott extra ellenőrzés megkerülése triviális. A változók közötti konverzió tréfálta meg az elit csapatot, továbbra is sebezhető a milliárdnyi androidos telefon.

Hibás a Google által kiadott javítás a Stagefright-problémára - jelentette egy új információbiztonsággal foglalkozó csapata. Az Exodus Intelligence kutatási eredményei szerint a médiában csak Stagefright-hibaként ismert CVE-2015-3824-re kiadott javítás megkerülése triviális, így az eredeti hiba továbbra is fennáll és támadók által kiaknázható.

Előzmények

Mint arról korábban beszámoltunk, az Android egyik programozási alapkönyvtárában, a multimédiás tartalmak kezeléséért felelős Stagefright könyvtárban van súlyos programozási hiba. A sebezhetőség úgy használható ki, ha a rendszert rávesszük egy megfelelően preparált videofájl feldolgozására, adott esetben egy támadó ilyenkor (rendszerverziótól függően) akár system jogosultságot is szerezhet, ahonnan egyrészt könnyen elérhető a root jogosultság is, de önmagában is rendkívüli lehetőségeket ad a behatoló kezébe (például kommunikáció monitorozása, stb.). Az (ezúttal jogos) pánikot az váltotta ki, hogy ez a videofeldolgozási folyamat roppant egyszerűen kiváltható, elegendő egy videós MMS-t küldeni az áldozatnak, a háttérben a rendszer felhasználói beavatkozás nélkül elindítja annak feldolgozását.

A Gitlab mint DevSecOps platform (x)

Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A Gitlab mint DevSecOps platform (x) Gyere el Radovan Baćović (Gitlab, Data Engineer) előadására a november 7-i DevOps Natives meetupon.

A hibát megtaláló kutatókkal együtt dolgozva a Google mindössze néhány nap alatt kiadta a javítást, amely ebben az esetben a Zimperium kutatói által beküldött patch elfogadását jelentette. A Google a frissített kódot azonnal eljuttatta az androidos gyártópartnerekhez, amelyek lassan elkezdték a telepített bázis frissítését is. A Google saját hatáskörben szintén nekifogott a közvetlenül frissített telefonok és tabletek frissítésének, a szerkesztőségünkben található Nexus 5 már tegnapelőtt megkapta a biztonsági javítást.

Lámpaláz, második felvonás

A frissítés szó szerint néhány sorból áll, amely implementál egy ellenőrzést az érintett változókra és nem hagyja, hogy a probléma gyökerét jelentő puffertúlcsordulás előfordulhasson. A megoldás roppant elegáns és egyszerű, arra a Google is rábólintott 48 órán belül, és azonnal be is fogadta az Android nyílt forráskódjába.

Az új elemzés szerint azonban a frappáns megoldás egy megfelelően előkészített MP4 fájl segítségével megkerülhető. A lehetőséget hosszabban ismerteti a bejegyzés, a lényeg, hogy a típusok közötti konverzió miatt viszonylag könnyen előállítható olyan eset, amikor az alulméretezett pufferbe annál jóval nagyobb adatmennyiséget tölt be a program, ezzel pedig újra előáll az eredeti sebezhetőség.

Ha a Google sem képes rá, akkor ki?

Az Exodus bejegyzése jogosan teszi fel a kérdést, hogy ha a Google elit biztonsági csapata ilyen nevetséges hibát képes véteni, akkor milyen reményünk van arra, hogy a kevésbé kompetens vállalatok konzisztensen biztonságos szoftvereket állítsanak elő. Arra egyelőre nincs válasz, hogy a súlyos baki hogyan ment át a Google rendszerein, elképzelhető, hogy a nagy sietségben kevesen ellenőrizték a beküldött javítást, és ahogy az végigfutott a kompatibilitási teszteken, azonnal beemelték azt a forráskódba.

Paradox módon a hatástalan frissítést most is teljes sebességgel tolja a Google a közvetlen frissítésű eszközökre, a kiadott Stagefright-indikátor alkalmazások pedig a frissített telefonokat biztonságosnak is jelölik. Az egyik ilyen alkalmazást az eredeti hibát felfedező Zimperium adta ki, az exodusos kutatók most igyekeznek elérni, hogy az alkalmazás kapjon frissítést és a javítást ne kezelje csuklóból biztonságosnak.

Az új helyzet nagyon jó tesztje lesz annak, hogy a Google által beígért havi biztonsági frissítési rendszer hogyan működik majd. A kezdeményezéshez egyébként már a Samsung és az LG is csatlakozott, a többi gyártótól egyelőre nem érkezett hasonló önkéntes felelősségvállalás az eladott telefonok biztonsága kapcsán.

November 25-26-án 6 alkalmas K8s security és 10 alkalmas, a Go és a cloud native szoftverfejlesztés alapjaiba bevezető képzéseket indítunk. Az élő képzések órái utólag is visszanézhetők, és munkaidő végén kezdődnek. November 8-ig early bird kedvezménnyel!

a címlapról