Android媒體伺服器再爆重大安全漏洞

趨勢科技（Trend Micro）再度公布另一個存在於Android媒體伺服器（Mediaserver）的安全漏洞，該漏洞讓駭客得以在受害裝置上執行任意程式，而這已是Mediaserver近來被發現的第4個安全漏洞。

趨勢科技行動威脅回應工程師Wish Wu說明，此次的漏洞肇因於Mediaserver中的AudioEffect元件，它使用來自第三方程式的變數，但卻無法正確檢驗，進而造成緩衝區堆積溢位。

駭客會先誘騙使用者下載一個程式，該程式表面看起來無害，也沒有要求任何的存取授權，但駭客得以掌控攻擊時機，並能以Mediaserver所具備的同樣權限執行任何程式。由於Mediaserver負責許多媒體相關任務，包含拍照、讀取MP4檔案與攝影等，讓使用者的隱私曝露於風險中。

此一安全漏洞的編號為CVE-2015-3842，可影響Android 2.3~Android 5.1.1的各個版本，就算使用者的Android裝置採用客製化作業系統，若該系統並無修改或變更Mediaserver，仍會受到影響。Google已經於8月初修補該漏洞，且迄今未傳出針對該漏洞的攻擊。

這是Mediaserver最近所出現的第4個安全漏洞，先前已出現過的包括可造成Android裝置不斷重新開機的CVE-2015-3823、可讓裝置昏迷的ANDROID-21296336，以及涉及「怯場」（Stagefright）漏洞的CVE-2015-3824。（編譯/陳曉莉）