9月29日，亞太地區最大的安全盛會中國互聯網安全大會(ISC2015)在國家會議中心召開。在智能移動分論壇上，來自360無線安全團隊CORE Team的吳家志和吳磊公布了近來發現的比stagefright漏洞影響更為嚴重的3個安卓媒體庫高危漏洞。

今年7月份，在安卓平臺的核心組成部分(用來處理、播放和記錄媒體文件的)stagefright框架中發現了多處安全漏洞，利用此漏洞，黑客只需知道用戶手機號碼便可通過發送彩信的方式遠程執行惡意代碼。統計顯示，stagefright框架的安全漏洞影響了約95%、多達9.5億部的安卓手機。

然而就在stagefright框架漏洞影響還未平息之際，在ISC2015智能移動終端攻防論壇上，來自360無線安全團隊CORE Team的吳家志和吳磊公布了stagefright的后遺癥，其中1個漏洞被谷歌確認為安全漏洞，3個則被確認為高危漏洞。

吳家志介紹，在stagefright框架中執行指令時，有機會得到更高的權限，因此漏洞造成的影響也比較大。像stagefright框架漏洞這樣使用彩信攻擊的方式則很容易被啟動，比如用戶在點擊媒體文件或網上瀏覽等操作時，就極可能激活漏洞。

并且，目前在安卓系統，審計代碼的工作和補漏工作并不是十分完善。吳家志提到，目前stagefright漏洞還有15個未修復。

CORE Team的吳磊也詳細介紹了三種漏洞利用的方式，即空指針引用、棧溢出和堆溢出三種方式，影響甚微廣泛的stagefright就屬于最后一種。

除stagefright外，吳家志和吳磊兩位也在研究其他應用庫是否存在問題。面對漏洞，CORE Team的兩位專家提出建議希望安卓方面采用對程序代碼更為嚴格的審計手段，各安全團隊對漏洞的研究和防御也需要在不斷修補的過程中逐漸完善。

據悉，本次大會由國家互聯網信息辦公室網絡安全協調局、工業和信息化部網絡安全管理局、國家網絡和信息安全通報中心指導，360互聯網安全中心、中國互聯網協會主辦。在智能移動分論壇上，來自國內外的頂級安全專家就當前移動領域所面臨的漏洞、熱門病毒攻防方式、安全狀況等進行了全方位的深入探討。