На прошлой неделе Чарли Миллер, специалист в области компьютерной
безопасности, рассказал на хакерской конференции Shmoocon об обнаруженной им
уязвимости в Google Android. Дыра была найдена в мультимедиа-плеере,
встроенном в веб-браузер платформы Android. Этот баг мог позволить хакерам
получить удаленный контроль над браузером и выкрасть данные. Согласно информации
oCERT, написанный компанией PacketVideo код не осуществлял надлежащей проверки
границ объекта в ходе декодирования MP3, что приводило к сбросу данных и
позволяло выполнить в куче произвольный код.
Несмотря на некоторые категоричные заявления, серьезность обнаруженной
уязвимости может быть преувеличена, поскольку ни о каком вредоносном ПО,
реализующем данную уязвимость, на данный момент ничего не известно. Впрочем, при
желании можно ограничить веб-серфинг посещением лишь благонадежных сайтов.
Один из инженеров Android Security Team в связи с вышеозначенным инцидентом
пояснил, что после получения 21 января информации о наличии эксплоита
специалисты Android Security Team связались с PacketVideo, T-Mobile и oCERT. Уже
к пятому февраля PacketVideo при помощи oCERT разработала соответствующий патч и
двумя днями позже пропатчила Open Source Android, а oCERT, в свою очередь,
опубликовала по этому необходимые разъяснения. Сразу после появления заплатки
Android Security Team предложила ее компании T-Mobile, и пользователи смартфона
G1 получат данное обновление после того, как в T-Mobile сочтут это необходимым.
