Обнаружена уязвимость в Google Android

На прошлой неделе Чарли Миллер, специалист в области компьютерной безопасности, рассказал на хакерской конференции Shmoocon об обнаруженной им уязвимости в Google Android. Дыра была найдена в мультимедиа-плеере, встроенном в веб-браузер платформы Android. Этот баг мог позволить хакерам получить удаленный контроль над браузером и выкрасть данные. Согласно информации oCERT, написанный компанией PacketVideo код не осуществлял надлежащей проверки границ объекта в ходе декодирования MP3, что приводило к сбросу данных и позволяло выполнить в куче произвольный код.

Несмотря на некоторые категоричные заявления, серьезность обнаруженной уязвимости может быть преувеличена, поскольку ни о каком вредоносном ПО, реализующем данную уязвимость, на данный момент ничего не известно. Впрочем, при желании можно ограничить веб-серфинг посещением лишь благонадежных сайтов.

Один из инженеров Android Security Team в связи с вышеозначенным инцидентом пояснил, что после получения 21 января информации о наличии эксплоита специалисты Android Security Team связались с PacketVideo, T-Mobile и oCERT. Уже к пятому февраля PacketVideo при помощи oCERT разработала соответствующий патч и двумя днями позже пропатчила Open Source Android, а oCERT, в свою очередь, опубликовала по этому необходимые разъяснения. Сразу после появления заплатки Android Security Team предложила ее компании T-Mobile, и пользователи смартфона G1 получат данное обновление после того, как в T-Mobile сочтут это необходимым.