stagefright

stagefright
FB招聘站
分类阅读
专栏
公开课
FIT 2019
企业服务
用户服务
搜索
投稿
登录
注册
安卓Stagefright高危漏洞初探 金山毒霸认证厂商2015-07-28共608786人围观 ，发现 14 个不明物体 终端安全
序

惊闻Stagefright曝出重大漏洞，可以造成远程代码执行，甚至发条彩信，就有可能入侵用户移动设备。这听起来可是难得一遇的大漏洞啊，作为安全人员，自然要好好扒一扒内幕了。

山重水复

从新闻来看，出于某些考虑，漏洞的发现者目前并没有公布相关的细节，而是决定要留到BlackHat上再进行详细的说明。也就是说，目前所知道就是Android系统的Stagefright库存在重大安全问题，具体是什么？想知道自己去Fuzz。

虽然，看起来关于漏洞细节，并没有任何头绪。但是，作为安全人员，首先要坚信的一点，就是世界上没有不透风的墙！仔细研读漏洞的新闻稿，可以发现，该漏洞已经提交给了Google，并且Google迅速的进行了修复。同时发现，Google也已经把漏洞相关信息交给了部分合作伙伴。看完这些，就能确定，这漏洞目前还能扒。

既然Google针对此漏洞，已经在源码中进行了修复。那么首先查看了Google的相关源码提交状态。

1.png

简单翻阅了提交的log。发现了一些关于libstagefright安全问题的修复，但大多言简意赅，难以确定。

柳暗花明

看起来从Google方面下手并不容易，好在Google已经将漏洞相关资料交给了合作伙伴，所以我们发现了CyanogenMod公布的一条消息。

2.png

也就是说，在CM12中已经对此漏洞进行了修复！

顺藤摸瓜

随后，我们在github上找到了CM12的提交记录

3.png

可以看到，在CM12的最近提交中，都是对Stagefright相关漏洞的修复，根据这些修复内容，对漏洞大体上也就能有一些了解了！

抽丝剥茧

我们对部分修复方案进行了简单分析。

Bug: 20139950

4.png

该bug的位置在frameworks/av/media/libstagefright/SampleTable.cpp文件的SampleTable::setSampleToChunkParams函数中，从该bug的说明和修复上来看。是由于mNumSampleToChunkOffets值太大，可能造成溢出。相关代码如下

5.png

注意红线标注部分。可能会造成访问越界。从而引发安全问题。

Bug: 20139950

33.png

该bug在frameworks/av/ media/libstagefright/ESDS.cpp的ESDS::parseESDescriptor函数中。直接从描述和修复代码中，就能看出来，是由于在解析过程中，对变量校验不严格，可能造成越界访问的问题。

Bug: 20923261

7.png

此漏洞产生于frameworks/av/media/libstagefright/MPEG4Extractor.cpp的MPEG4Extractor::parseChunk函数中。从截图就可以看到漏洞的全貌了。当chunk_data_size小于kSkipBytesOfDataBox时，红线部分就会变成一个负数，由于setData的最后一个参数类型是size_t，所以就会被解析成很大的正数，从而造成错误。

其余漏洞产生原因类似，就不再一一进行描述了。

总结

概览全部的修复代码，发现产生漏洞的原因，都是因为对数据校验完善造成的。此次曝光的只是Stagefright的问题。考虑到Android系统中包含了大量的文件解析代码，包括图片、压缩包、音频、视频等解码库。这些库在解析文件过程中，对数据进行严格的校验了吗？会不会明天又会爆出音频解码存在严重bug？这应该是值得开发者和安全从业者深思的问题。

*作者：金山毒霸，转载须注明来自FreeBuf黑客与极客（FreeBuf.COM）

金山毒霸
金山毒霸
11 篇文章
等级： 4级
||
上一篇：安卓曝大漏洞：一条彩信可控制手机，影响95%设备下一篇：小区RFID电卡的那些事儿
这些评论亮了

jduck 回复
大锅，好歹整个poc才叫初探，翻译人家注释的源代码装b，关键是还分析错了，你们真的看懂代码了么？
)22(亮了
发表评论已有 14 条评论

疯er 2015-07-28回复 1楼
沙发

亮了(1)

xusy2656 2015-07-28回复 2楼
转发微博

亮了(0)

qiaoy (1级) 2015-07-28回复 3楼
666666

亮了(0)

xxx 2015-07-28回复 4楼
注意红线标注部分。可能会造成访问越界。从而引发安全问题。

仔细看了一下，恩，但是没看出来问题，话说问题点是这么…要不你再往下搂两眼…

别问我是谁，请叫我雷锋

亮了(4)

jduck 2015-07-28回复 5楼
大锅，好歹整个poc才叫初探，翻译人家注释的源代码装b，关键是还分析错了，你们真的看懂代码了么？

亮了(22)

wxx (1级) 2015-07-28回复 6楼
收购新浪微博 XSS CSRF 有的私聊！！

亮了(3)

LiterateBear (1级) 2015-07-28回复 7楼
求exp～

亮了(1)

莉亚德琳 (2级) 2015-07-29回复 8楼
av/media。好吧我只看到了这几个词

亮了(1)

金山毒霸 2015-07-29回复 9楼
我厂程序猿正密切关注该漏洞的更多信息，目前已经得到漏洞poc

亮了(2)

李铁军 2015-07-29回复 10楼
我厂程序猿棒棒哒。 我厂程序猿正密切关注该漏洞的更多信息，目前已经得到漏洞poc

亮了(1)

习语言 2015-07-29回复 11楼
POC是啥？微博是大众平台，不要那么多鸟语好不？ 另外请转告你厂猿猿们，为毒霸增加个程序员工作模式，此模式下，只监测外部和网络来源的内容，不对硬盘文件访问等做监控，方便开发。

亮了(2)

金山毒霸大亲爱的 2015-07-30回复 12楼
没有金刚钻就别揽瓷器活

亮了(0)

hiplayer 2015-08-04回复 13楼
这种漏洞都不算什么的，做手机media这种问题不知道遇到过几次了。

随便拿个格式，android解析都会crash，仔细分析下都是媒体解析出现问题。这里面的漏洞多的是 。

亮了(1)

eq06 2015-08-09回复 14楼
那是不是有可能出个Android各版本补丁，替换libstagefright内相关文件，不用刷系统或者等厂商呢？

亮了(1)
昵称
请输入昵称
必须您当前尚未登录。登陆？注册邮箱
请输入邮箱地址
必须（保密）表情插图
有人回复时邮件通知我
金山毒霸
金山毒霸认证厂商

中国著名的反病毒软件

11
文章数
2
评论数
最近文章
Zbot木马型间谍软件新变种
2015.12.10

席卷全球的幽灵推（Ghost Push）病毒分析报告
2015.09.18

再探Stagefright漏洞：关于POC与EXP
2015.07.31

浏览更多
相关阅读
美国安全公司指责小米4手机预装恶意APP，小米否认中国市场手机系统安全检测报告快讯 | 任天堂 Switch 遭 fail0verflow 黑客组织破解，已可运行 Linux 系统开启夜视功能的摄像机被曝可以暗中传输数据这个恶意程序可以将你电脑变成代理服务器
特别推荐

关注我们 分享每日精选文章

活动预告
11月

FreeBuf精品公开课·双11学习狂欢节 | 给努力的你打打气
已结束
10月

【16课时-连载中】挖掘CVE不是梦（系列课程2）
已结束
10月

【首节课仅需1元】挖掘CVE不是梦
已结束
9月

【已结束】自炼神兵之自动化批量刷SRC
已结束
FREEBUF免责声明协议条款关于我们加入我们广告及服务寻求报道广告合作联系我们友情链接关注我们
官方微信
新浪微博腾讯微博Twitter赞助商
Copyright © 2018 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
css.php 正在加载中...0daybank