Google heeft wederom patches uitgebracht voor Stagefright. Die moeten twee nieuwe lekken dichten.
Een van de twee nieuwe lekken komt voor in zeer veel Android-versies. De oudste daarvan is in 2008 uitgebracht. Dat betekent dat tientallen miljoenen gebruikers van Android risico’s lopen zolang ze geen patches hebben doorgevoerd. Google benadrukte overigens wel dat er voor zover bekend nog geen misbruik is gemaakt van deze lekken. Stagefright is een bibliotheek die mediabestanden verwerkt.
De lekken zijn gevonden door beveiliger Zimperium, die in april al de eerste lekken in Stagefright vond. Een aanvaller kan deze zwakke plekken misbruiken door een gebruiker naar een website te lokken waar die daar geluidsfragmenten of video’s laat spelen. Dat is iets minder gevaarlijk dan de eerder gevonden lekken in Stagefright. Die kon een aanvaller misbruiken door alleen maar een speciale MMS naar een gebruiker te sturen. De smartphone kon daarmee al besmet worden.
De patches zijn opgenomen in een over-the-air update voor de Nexus-apparaten. In totaal heeft Google deze maand al 15 lekken in Stagefright gedicht.
