Обновление от Google не смогло устранить уязвимость Stagefright

Как сообщалось ранее, в конце июля специалисты компании Zimperium zLabs обнаружили опасную уязвимость ОС Android. Она затрагивает программную библиотеку Stagefright системного инструмента Android, предназначенного для работы с видео. Под угрозой оказался почти миллиард мобильных устройств. Корпорация Google достаточно оперативно выпустила обновление, призванное ликвидировать уязвимость Stagefright. Однако, как выясняется, оно не справилось со своей задачей.

Исследователи компании Exodus Intelligence обнаружили ошибку в программном коде обновления. И используя ее, создали MP4-видеофайл, который успешно эксплуатировал уязвимость уже и на обновленных устройствах. 7 августа Exodus Intelligence известила Google о проблеме. Но уже 13 августа компания сочла нужным опубликовать описание уязвимости, получившей наименование CVE-2015-3864. Свои действия представители Exodus Intelligence мотивировали тем, что корпорация Google продолжала распространять уязвимое обновление. «Штат Google включает в себя огромное количество специалистов по кибербезопасности. Оно столь велико, что некоторые из этих специалистов посвящают свое рабочее время поиску уязвимостей в ПО сторонних производителей и назначению сроков, в которые эти уязвимости должны быть устранены, - говорится в сообщении Exodus Intelligence. – Но если при этом Google не проявляет готовности своевременно защитить своих пользователей от уязвимости в собственном ПО, то на что же остается надеяться всем остальным?»

На сей раз реакция Google не заставила себя ждать. Инженеры корпорации сообщили в блоге, что устранили уязвимость предыдущего обновления. Новое обновление будет доступно пользователям устройств Nexus в сентябре. Пользователям всех остальных Android-смартфонов и планшетов остается уповать на расторопность производителей своих устройств и сотовых операторов.