Google уже успела исправить уязвимость Stagefright, обнаруженную летом этого года. Но сотрудники Zimperium zLabs обнаружили новую дыру в безопасности, уже получившую название Stagefright 2.0.
Уязвимость заключается в обработке метаданных MP3 и MP4 файлов. Если их составить определенным образом, то на Android устройстве можно запустить исполняемый код.
Stagefright 2.0. можно использовать практически на всех устройствах использующих Android, начиная с версии 1.0. Google уведомили об уязвимости еще 15 августа и компания готовит патч для смартфонов Nexus (вторая неделя октября), а также планирует закрыть уязвимость в Android Marshmallow. Пользователи устройств с Android 5.х или более ранними версиями должны рассчитывать на то, что производители этих устройств выпустят соответствующие патчи, хотя в случае со старыми смартфонами надеяться практически не на что.
Поскольку Google исправила уязвимость Stagefright в MMS, Google Hangouts и Messenger, то Stagefright 2.0. будут пытаться эксплуатировать в первую очередь через браузер где простой переход по ссылке может привести к запуску кода. Также уязвимость может быть использована с помощью приложений, использующих некоторые библиотеки для работы медиа-файлами.