Η Google έχει επιδιορθώσει επτά από τις code execution ευπάθειές της, από τις οποίες δύο χαρακτηρίσθηκαν κρίσιμες, ενώ τέσσερις high και μια moderate. Αυτός ήταν ο τέταρτος γύρος Android patching από τον Αύγουστο αυτού του χρόνου.
Δύο ελαττώματα, τα οποία επιτρέπουν σε επιτιθέμενους να κάνουν remote code execution, και κρίθηκαν ‘critical’ περιλαμβάνουν τα libutils (CVE-2015-6609) και mediaserver (CVE-2015-6608) holes. Τα holes αυτά μπορούν να εκμεταλλευθούν στέλνοντας craftαρισμένα media files στις επηρεασμένες συσκευές.
Η Google ενημέρωσε τους συνεργάτες της για το patch στις 5 Οκτωβρίου, και ενώ ο patch code είναι διαθέσιμος για τα Nexus, Samsung, και Android Open Source Project, θα ανακοινωθεί για το τελευταίο Marshmallow Android operating system.
Στο advisory της η Google αναφέρει πως , “Το πιο σημαντικό απ’ όλα τα θέματα είναι η κρίσιμη ευπάθεια ασφαλείας που θα μπορούσε να επιτρέψει την απομακρυσμένη εκτέλεση κώδικα σε μια επηρεασμένη συσκευή μέσω πολλαπλών μεθόδων όπως, τα email, το web browsing, και τα MMS όταν περιέχουν media files.”
Το Privilege elevation bug επιλύθηκε στο libstagefright library το οποίο ήταν ξεχωριστό από τις ευπάθειες StageFright που αναφέρθηκαν από τον ερευνητή της Zimperium, Joshua Drake, νωρίτερα μέσα στο χρόνο.
Οι ευπάθειες στο Bluetooth (CVE-2015-6613), το mediaserver (CVE-2015-6611), και το telephone app (CVE-2015-6614), καθώς και το libmedia (CVE-2015-6612) επίσης επιδιορθώθηκαν.
Η Google ενδεικτικά αναφέρει πως «Η εκμετάλλευση των ευπαθειών γίνεται ολοένα και δυσκολότερη στο βελτιωμένο από άποψη ασφάλειας Marshmallow Android platform».
