[Owasp-greece] technical info for Android CVE-2016-0816 and CVE-2016-0824

Dimitrios Glynos dimitris at census-labs.com
Wed Mar 23 13:41:25 UTC 2016


Καλησπέρα σας,

μόλις δημοσιεύσαμε τις τεχνικές λεπτομέρειες για τα heap overflows
CVE-2016-0816 και CVE-2016-0824 που βρήκαμε στη libstagefright
στο Android:

https://census-labs.com/news/2016/03/23/libstagefright-ih264d-heap-overflow/

https://census-labs.com/news/2016/03/23/libstagefright-mpeg2-heap-overflow/

Λογικά όσοι/ες έχετε Nexus device θα πρέπει να έχετε
λάβει ήδη τα σχετικά fixes για τα παραπάνω bugs (ήταν μέρος του Nexus
Security Bulletin March 2016). Αν δεν έχετε προχωρήσει σε update
καλό θα είναι να το κάνετε γιατί τουλάχιστον το ένα από τα δύο
issues μπορεί να χρησιμοποιηθεί για remote code execution
μέσω πολλαπλών μεθόδων (mms, chat video, video σε browser κλπ.).

Θα προχωρήσουμε σε κοινοποίηση και άλλων σφαλμάτων που έχουμε βρει
στο Android μόλις η Google κάνει διαθέσιμα τα αντίστοιχα
security fixes.

Με εκτίμηση,

Δημήτρης Γλυνός


More information about the Owasp-greece mailing list