9月29日，亞太地區最大的安全盛會(huì )中國互聯(lián)網(wǎng)安全大會(huì )(ISC2015)在國家會(huì )議中心召開(kāi)。在智能移動(dòng)分論壇上，來(lái)自360無(wú)線(xiàn)安全團隊CORE Team的吳家志和吳磊公布了近來(lái)發(fā)現的比stagefright漏洞影響更為嚴重的3個(gè)安卓媒體庫高危漏洞。

今年7月份，在安卓平臺的核心組成部分(用來(lái)處理、播放和記錄媒體文件的)stagefright框架中發(fā)現了多處安全漏洞，利用此漏洞，黑客只需知道用戶(hù)手機號碼便可通過(guò)發(fā)送彩信的方式遠程執行惡意代碼。統計顯示，stagefright框架的安全漏洞影響了約95%、多達9.5億部的安卓手機。

然而就在stagefright框架漏洞影響還未平息之際，在ISC2015智能移動(dòng)終端攻防論壇上，來(lái)自360無(wú)線(xiàn)安全團隊CORE Team的吳家志和吳磊公布了stagefright的后遺癥，其中1個(gè)漏洞被谷歌確認為安全漏洞，3個(gè)則被確認為高危漏洞。

吳家志介紹，在stagefright框架中執行指令時(shí)，有機會(huì )得到更高的權限，因此漏洞造成的影響也比較大。像stagefright框架漏洞這樣使用彩信攻擊的方式則很容易被啟動(dòng)，比如用戶(hù)在點(diǎn)擊媒體文件或網(wǎng)上瀏覽等操作時(shí)，就極可能激活漏洞。

并且，目前在安卓系統，審計代碼的工作和補漏工作并不是十分完善。吳家志提到，目前stagefright漏洞還有15個(gè)未修復。

CORE Team的吳磊也詳細介紹了三種漏洞利用的方式，即空指針引用、棧溢出和堆溢出三種方式，影響甚微廣泛的stagefright就屬于最后一種。

除stagefright外，吳家志和吳磊兩位也在研究其他應用庫是否存在問(wèn)題。面對漏洞，CORE Team的兩位專(zhuān)家提出建議希望安卓方面采用對程序代碼更為嚴格的審計手段，各安全團隊對漏洞的研究和防御也需要在不斷修補的過(guò)程中逐漸完善。

據悉，本次大會(huì )由國家互聯(lián)網(wǎng)信息辦公室網(wǎng)絡(luò )安全協(xié)調局、工業(yè)和信息化部網(wǎng)絡(luò )安全管理局、國家網(wǎng)絡(luò )和信息安全通報中心指導，360互聯(lián)網(wǎng)安全中心、中國互聯(lián)網(wǎng)協(xié)會(huì )主辦。在智能移動(dòng)分論壇上，來(lái)自國內外的頂級安全專(zhuān)家就當前移動(dòng)領(lǐng)域所面臨的漏洞、熱門(mén)病毒攻防方式、安全狀況等進(jìn)行了全方位的深入探討。