وصله‎ی آسیب‎پذیری در MediaServer

به گزارش واحد متخصصین سایبربان؛ بار دیگر آسیب‎پذیری جدی اجرای کد از راه دور در کارگزار رسانه، به‎روزرسانی این ماه را به خود اختصاص داده است. کارگزار رسانه یک خطای امنیتی در هسته دارد که از تابستان گذشته توسط Stagefright کشف شد و همچنان پابرجا است. این برنامه محتوای رسانه را به کار می‌گیرد و به خاطر تعاملی که با هسته‌ دارد به هدفی خوب برای حملات سایبری تبدیل‌شده است. در ضمن محققان گفتند که این‌یک برنامه «فرا ممتاز» است زیرا دسترسی اعطاشده به این برنامه در سامانه مربوط به چند دستگاه است. 

مایک هانلی رئیس آزمایشگاه DUO در شرکت Duo Security گفت: «مشکلی که در اینجا وجود دارد مواجهه با کتابخانه پردازش چند رسانه‌ی به اشتراک گذاشته‌شده است که باید بتواند طیف گسترده‌ای از پرونده‎ها و فرمت‌های ورودی را کنترل کند. Stagefright از چندراه مختلف قابل‌دسترسی است و تحلیل‎گرهای رسانه نیز قبلاً با این اشکالات و خطاها مواجه شده‌اند.

سطح این حمله بسیار گسترده است و اگر حمله‌ی موفقی صورت بگیرد، اطلاعات بسیاری نصیب مهاجم می‌شود چراکه کارگزار رسانه می‌تواند بخش‌های دیگر دستگاه مثل دوربین و میکروفن را نیز اجرا کند.»

وصله‎های ۳۲ آسیب‎پذیری روی دستگاه‌های نکسوس طی یک به‌روزرسانی منتشر شد، درحالی‌که گوگل گفت این به‎روز‎رسانی را در روز ۴ آوریل برای تولید‌کنندگان ارسال کرده است. انتظار می‌رود که پروژه‌ی متن‎باز اندروید (AOSP) طی ۲ روز آینده به‎روزرسانی شود.

گوگل نام به‎روزرسانی ماهیانه خود را از بولتن امنیتی نکسوس به بولتن امنیتی اندروید تغییر داده است. گوگل گفت: «این بولتن‌ها طیف گسترده‌ای از آسیب‎پذیری‌ها را شامل می‌شود که حتی اگر روی دستگاه‌های نکسوس اثر نگذارد احتمالاً روی دستگاه‌های اندرویدی تأثیرگذار باشند».

گوگل شاخص‌های درجه‎بندی شدت آسیب‎پذیری‌ها را نیز به‎روزرسانی کرده است. گوگل گفت: «این تغییرات نتیجه‌ی اطلاعات جمع‌آوری‌شده در مورد آسیب‎پذیر‌ی‌های امنیتی گزارش‌شده طی شش ماه گذشته است و ما در نظر داریم که این درجه‎بندی‌ها را به دنیای واقعی نزدیک‎تر کنیم». 

 گوگل این ماه دو آسیب‎پذیری جدی (CVE-2016-2428 و CVE-2016-2429) را در کارگزار رسانه که یکی از ۶ بولتن اصلی است و ۱۲ آسیب‎پذیری و خطا را پوشش می‌دهد، وصله کرده است.

محقق ویچائو سان از شرکت علی‌بابا این آسیب‎پذیری‎ها در کارگزار رسانه که منجر به خرابی حافظه و اجرای کد از راه دور بر روی دستگاه می‌شوند را به‎طور خصوصی گزارش داده است. گوگل گفت که نسخه‌های  ۴.۴.۴، ۵/۱/۱، ۵.۰.۲، ۶.۰ و ۶/۰/۱ تحت تأثیر قرار گرفتند.

مهاجمان با چند روش می‌توانند از این آسیب‎پذیری سوءاستفاده کنند که البته بیشتر این روش‌ها با استفاده از MMS مخرب و مرورگر بازگردانی پرونده‎های رسانه امکان‎پذیر هستند.

گوگل گفت: «این خطا، جدی است زیرا امکان اجرای کد از راه دور درون محتوای سرویس کارگزار رسانه وجود دارد. کارگزار رسانه علاوه بر دسترسی به ویدئو و صداها می‌تواند به سطح دسترسی بالادست یابد که معمولاً برنامه‌های شخص ثالث نمی‌تواند به آن‌ها دسترسی یابد».

گوگل همچنین یک آسیب‎پذیری جدی در اشکال‏زدای یکپارچه اندرویدی Debugger را گزارش داد که مهاجم با استفاده از این آسیب‎پذیری می‌تواند هر کد دلخواهی را درون محتوای این برنامه اجرا کرده و علاوه بر آن دستگاه را روت کند.

چهار آسیب‎پذیری مربوط به افزایش حق امتیاز و سطح دسترسی در Qualcomm Trust Zone و راه‎انداز Qualcomm WiFi نیز وصله شدند که هر چهار مورد می‌توانستند دستگاه را روت کرده و باعث شوند که مهاجم هر کد دلخواهی با حق امتیاز مربوط به هسته‌ی مرکزی Trust Zone را اجرا کند.

گوگل همچنین ۴ آسیب‎پذیری روت کننده مشابه در راه‌انداز NVIDIA Video را نیز وصله کرد که روی دستگاه نکسوس ۹ اثر می‌گذاشت.

  ۱۲ بولتن امنیتی دیگر نیز منتشر شد که ۱۹ آسیب‎پذیری بااهمیت زیاد را شامل می‎شد. آسیب‎پذیری‌های اجرای کد از راه دور در هسته‌ی اندروید و بلوتوث نیز وصله شدند. این آسیب‎پذیری در هسته ابتدا باید سرویس با سطح دسترسی بالا را در زیرسامانه صوتی آلوده کند. آسیب‎پذیری بلوتوث نیز اجازه‌ی اجرای کد از راه دور را می‎دهد.

بیشتر آسیب‌پذیری‌های باقی‌مانده بااهمیت بالا مربوط به مسائل سطح دسترسی بودند که ۵ مورد آن‎ها در کارگزار رسانه بود. به‌علاوه‌ی اشکالاتی در راه‎انداز Qualcomm Busmp، راه‎انداز MDP و WiFi وجود داشت. آسیب‎پذیری‎های دیگر در راه‌انداز NVIDIA Video، WiFi و راه‎انداز Qualcomm Thethering و همچنین یک آسیب‎پذیری منع سرویس در Qualcomm Hardware Codec وصله شد. آسیب‎پذیری‎های بااهمیت متوسط در Conscrypt،Open SSL،Boring SSL، راه‎انداز MediaTek Wifi،WiFi،AOSP Mail MediaServer و آسیب‎پذیری بااهمیت پایین در هسته‌ بودند.