VDB-76821 · CVE-2015-1539 · BID 76052

Google Android bis 5.1.1 Stagefright Video File Remote Code Execution

CVSS Meta Temp ScoreAktueller Exploitpreis (≈)CTI Interest Score
6.0$0-$5k0.00

Zusammenfassunginfo

Eine als sehr kritisch eingestufte Schwachstelle wurde in Google Android festgestellt. Es ist betroffen eine unbekannte Funktion der Komponente Stagefright. Durch Manipulation durch Video File kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Die Identifikation der Schwachstelle findet als CVE-2015-1539 statt. Darüber hinaus steht ein Exploit zur Verfügung. Diese Schwachstelle weist aufgrund ihres Hintergrunds und der Reaktionen darauf eine historische Wirkung auf. Es wird geraten, einen Patch zu installieren, um dieses Problem zu lösen.

Detailsinfo

Es wurde eine Schwachstelle in Google Android (Smartphone Operating System) ausgemacht. Sie wurde als sehr kritisch eingestuft. Hiervon betroffen ist eine unbekannte Funktionalität der Komponente Stagefright. Durch Manipulieren durch Video File kann eine Remote Code Execution-Schwachstelle ausgenutzt werden. Im Rahmen von CWE wurde eine Klassifizierung als CWE-189 vorgenommen. Auswirkungen hat dies auf Vertraulichkeit, Integrität und Verfügbarkeit.

Am 20.05.2010 wurde der Fehler eingeführt. Die Schwachstelle wurde am 27.07.2015 durch Joshua Drake von Zimperium zLabs als Stagefright: It Only Takes One Text To Hack 950 Million Android Phones in Form eines nicht definierten Articles (Forbes) publiziert. Bereitgestellt wird das Advisory unter forbes.com. Die Herausgabe passierte in Zusammenarbeit mit Google. Das Deutsche Nachrichtenportal Golem fragt skeptisch: "Hype oder nicht?" Die Identifikation der Schwachstelle wird seit dem 06.02.2015 mit CVE-2015-1539 vorgenommen. Die Schwachstelle ist relativ beliebt, und dies trotz ihrer hohen Komplexität. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar keine technische Details, jedoch ein öffentlicher Exploit zur Schwachstelle bekannt. Ein Exploit zur Schwachstelle wird momentan etwa USD $0-$5k kosten (Preisberechnung vom 03.06.2022). Es kann davon ausgegangen werden, dass sich die Exploit-Preise für dieses Produkt in Zukunft steigend verhalten werden.Die spezielle Ausprägung dieser Schwachstelle führt dazu, dass ihr ein gewisses historisches Interesse beigemessen werden kann. Das Advisory weist darauf hin:

Six critical vulnerabilities have left 95 per cent of Google Android phones open to an attack delivered by a simple multimedia text, a mobile security expert warned today. (...) All attackers would need to send out exploits would be mobile phone numbers, Drake noted. From there, they could send an exploit packaged in a Stagefright multimedia message (MMS), which would let them write code to the device and steal data from sections of the phone that can be reached with Stagefright’s permissions. That would allow for recording of audio and video, and snooping on photos stored in SD cards. Bluetooth would also be hackable via Stagefright.

Ein öffentlicher Exploit wurde in Python geschrieben. Der Download des Exploits kann von securityfocus.com geschehen. Er wird als proof-of-concept gehandelt. Vor einer Veröffentlichung handelte es sich 1894 Tage um eine Zero-Day Schwachstelle. Während dieser Zeit erzielte er wohl etwa $25k-$100k auf dem Schwarzmarkt. Das Advisory zeigt auf:

The researcher noted that on some older devices, including the Samsung S4 and the LG Optimus Elite, the exploitable process runs with system-level privileges, providing wide access across the phone.

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Das Advisory stellt fest:

Google informed HTC of the issue and provided the necessary patches, which HTC began rolling into projects in early July. All projects going forward contain the required fix.

Unter anderem wird der Fehler auch in den Datenbanken von SecurityFocus (BID 76052†), SecurityTracker (ID 1033094†) und Vulnerability Center (SBV-51633†) dokumentiert. Auf Deutsch berichtet unter anderem Heise zum Fall. Weitere Informationen werden unter blog.zimperium.com bereitgestellt. Mit dieser Schwachstelle verwandte Einträge finden sich unter VDB-76820, VDB-76822, VDB-76823 und VDB-76824. If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Betroffen

  • Blackphone PrivatOS bis 1.1.6
  • CyanogenMod bis 12.0
  • Google Android bis 5.1.1

Nicht betroffen

  • Blackphone PrivatOS 1.1.7
  • CyanogenMod 12.1
  • Google Android bis 2.1

Produktinfo

Typ

Hersteller

Name

Version

Lizenz

Webseite

CPE 2.3info

CPE 2.2info

Screenshot

Video

Öffne Video | Zeige mehr Videos

CVSSv4info

VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv3info

VulDB Meta Base Score: 7.3
VulDB Meta Temp Score: 6.0

VulDB Base Score: 7.3
VulDB Temp Score: 6.0
VulDB Vector: 🔍
VulDB Zuverlässigkeit: 🔍

CVSSv2info

AVACAuCIA
💳💳💳💳💳💳
💳💳💳💳💳💳
💳💳💳💳💳💳
VektorKomplexitätAuthentisierungVertraulichkeitIntegritätVerfügbarkeit
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten
freischaltenfreischaltenfreischaltenfreischaltenfreischaltenfreischalten

VulDB Base Score: 🔍
VulDB Temp Score: 🔍
VulDB Zuverlässigkeit: 🔍

NVD Base Score: 🔍

Exploitinginfo

Klasse: Remote Code Execution
CWE: CWE-189
CAPEC: 🔍
ATT&CK: 🔍

Physisch: Nein
Lokal: Nein
Remote: Ja

Verfügbarkeit: 🔍
Zugang: öffentlich
Status: Proof-of-Concept
Programmiersprache: 🔍
Download: 🔍

EPSS Score: 🔍
EPSS Percentile: 🔍

Preisentwicklung: 🔍
Aktuelle Preisschätzung: 🔍

0-Dayfreischaltenfreischaltenfreischaltenfreischalten
Heutefreischaltenfreischaltenfreischaltenfreischalten

Threat Intelligenceinfo

Interesse: 🔍
Aktive Akteure: 🔍
Aktive APT Gruppen: 🔍

Gegenmassnahmeninfo

Empfehlung: Patch
Status: 🔍

0-Day Time: 🔍
Fortigate IPS: 🔍

Timelineinfo

20.05.2010 🔍
06.02.2015 +1723 Tage 🔍
09.04.2015 +62 Tage 🔍
27.07.2015 +109 Tage 🔍
27.07.2015 +0 Tage 🔍
27.07.2015 +0 Tage 🔍
28.07.2015 +1 Tage 🔍
28.07.2015 +0 Tage 🔍
28.07.2015 +0 Tage 🔍
30.09.2015 +64 Tage 🔍
03.06.2022 +2438 Tage 🔍

Quelleninfo

Hersteller: google.com

Advisory: Stagefright: It Only Takes One Text To Hack 950 Million Android Phones
Person: Joshua Drake
Firma: Zimperium zLabs
Status: Nicht definiert
Bestätigung: 🔍
Koordiniert: 🔍

CVE: CVE-2015-1539 (🔍)
GCVE (CVE): GCVE-0-2015-1539
GCVE (VulDB): GCVE-100-76821
SecurityFocus: 76052 - Google Stagefright Media Playback Engine Multiple Remote Code Execution Vulnerabilities
SecurityTracker: 1033094 - Google Android MMS Media Processing Flaw Lets Remote Users Execute Arbitrary Code on the Target System
Vulnerability Center: 51633 - Google Android 2.2 - 5.1.1 Remote Code Execution Vulnerability via Crafted MMS - CVE-2015-1539, Critical

Heise: 2763764
scip Labs: https://www.scip.ch/?labs.20150917
Diverses: 🔍
Siehe auch: 🔍

Eintraginfo

Erstellt: 28.07.2015 17:00
Aktualisierung: 03.06.2022 22:07
Anpassungen: 28.07.2015 17:00 (78), 03.08.2017 03:23 (13), 03.06.2022 22:07 (3)
Komplett: 🔍
Cache ID: 216:608:103

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

Diskussion

Bisher keine Kommentare. Sprachen: de + en.

Bitte loggen Sie sich ein, um kommentieren zu können.

ZurückÜbersichtWeiter

Do you need the next level of professionalism?

Upgrade your account now!