Publicado el 9 de septiembre de 2015
Lanzamos una actualización de seguridad para dispositivos Nexus mediante una actualización por aire (OTA) como parte de nuestro proceso de lanzamiento mensual del boletín de seguridad de Android (compilación LMY48M). Las actualizaciones para dispositivos Nexus y los parches de código fuente para estos problemas también se lanzaron en el repositorio de código fuente del Proyecto de código abierto de Android (AOSP). El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría habilitar la ejecución de código remoto en un dispositivo afectado.
Las imágenes del firmware de Nexus también se lanzaron en el sitio de Google Developer. Las compilaciones LMY48M o posteriores abordan estos problemas. Los socios recibieron una notificación sobre estos problemas el 13 de agosto de 2015 o antes.
No detectamos que los clientes aprovechen los problemas informados recientemente. La excepción es el problema existente (CVE-2015-3636). Consulta la sección Mitigaciones para obtener detalles sobre las protecciónes de la plataforma de seguridad de Android y las protecciones de servicios,como SafetyNet, que reducen la probabilidad de que se puedan aprovechar con éxito las vulnerabilidades de seguridad en Android.
Ten en cuenta que ambas actualizaciones de seguridad críticas (CVE-2015-3864 y CVE-2015-3686) abordan vulnerabilidades ya divulgadas. No hay vulnerabilidades de seguridad críticas nuevas divulgadas en esta actualización. La evaluación de gravedad se basa en el efecto que podría tener la explotación de la vulnerabilidad en un dispositivo afectado, siempre y cuando las mitigaciones de la plataforma y el servicio estén inhabilitadas para fines de desarrollo o si se eluden correctamente.
Recomendamos a todos los clientes que acepten estas actualizaciones en sus dispositivos.
Mitigaciones
Este es un resumen de las mitigaciones que proporciona la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet. Estas funciones reducen la probabilidad de que se puedan explotar vulnerabilidades de seguridad en Android.
- Las mejoras en las versiones más recientes de la plataforma de Android dificultan el aprovechamiento de muchos problemas en Android. Recomendamos a todos los usuarios que actualicen a la versión más reciente de Android siempre que sea posible.
- El equipo de Seguridad de Android supervisa de forma activa los abusos con Verify Apps y SafetyNet, que advertirán sobre las aplicaciones potencialmente dañinas que se instalarán. Las herramientas de acceso raíz de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones fuera de Google Play, Verificar aplicaciones está habilitado de forma predeterminada y les advertirá a los usuarios sobre las aplicaciones de acceso raíz conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de elevación de privilegios. Si ya se instaló una aplicación de este tipo, Verificar aplicaciones le notificará al usuario y intentará quitarla.
- Según corresponda, las aplicaciones de Google Hangouts y Messenger no pasan contenido multimedia automáticamente a procesos como mediaserver.
Agradecimientos
Queremos agradecer a los siguientes investigadores por sus contribuciones:
- Jordan Gruskovnjak de Exodus Intelligence (@jgrusko): CVE-2015-3864
- Michał Bednarski: CVE-2015-3845
- Guang Gong de Qihoo 360 Technology Co. Ltd (@oldfresher): CVE-2015-1528, CVE-2015-3849
- Brennan Lautner: CVE-2015-3863
- jgor (@indiecom): CVE-2015-3860
- Wish Wu de Trend Micro Inc. (@wish_wu): CVE-2015-3861
Detalles de la vulnerabilidad de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades de seguridad de este boletín. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones afectadas y la fecha en que se informó. Cuando está disponible, vinculamos el cambio de AOSP que solucionó el problema al ID de error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a números que siguen al ID del error.
Remote Code Execution Vulnerability in Mediaserver
Durante el procesamiento de datos y archivos multimedia de un archivo creado especialmente, las vulnerabilidades en mediaserver podrían permitir que un atacante cause daños en la memoria y ejecución de código remoto durante el proceso de mediaserver.
La funcionalidad afectada se proporciona como una parte principal del sistema operativo y existen varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y reproducción de contenido multimedia en el navegador.
Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del servicio de mediaserver. El servicio de mediaserver tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no pueden acceder de forma normal.
Este problema está relacionado con el CVE-2015-3824 (ANDROID-20923261) que ya se informó. La actualización de seguridad original no fue suficiente para abordar una variante de este problema informado originalmente.
| CVE | Error con los vínculos del AOSP | Gravedad | Versiones afectadas |
|---|---|---|---|
| CVE-2015-3864 | ANDROID-23034759 | Crítico | 5.1 y versiones anteriores |
Vulnerabilidad de elevación de privilegios en el kernel
Una vulnerabilidad de elevación de privilegios en el manejo de sockets de ping del kernel de Linux podría permitir que una aplicación maliciosa ejecute código arbitrario en el contexto del kernel.
Este problema se calificó como de gravedad crítica debido a la posibilidad de que se ejecute código en un servicio con privilegios que puede omitir las protecciones del dispositivo, lo que podría provocar un compromiso permanente (es decir, que se deba volver a escribir en la partición del sistema) en algunos dispositivos.
Este problema se identificó públicamente por primera vez el 1 de mayo de 2015. Se incluyó un exploit de esta vulnerabilidad en varias herramientas de “rooting” que el propietario del dispositivo puede usar para modificar el firmware.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas |
|---|---|---|---|
| CVE-2015-3636 | ANDROID-20770158 | Crítico | 5.1 y versiones anteriores |
Vulnerabilidad de elevación de privilegios en Binder
Una vulnerabilidad de elevación de privilegios en Binder podría permitir que una aplicación maliciosa ejecute código arbitrario en el contexto del proceso de otra app.
Este problema se calificó como de gravedad alta porque permite que una aplicación maliciosa obtenga privilegios a los que no puede acceder una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas |
|---|---|---|---|
| CVE-2015-3845 | ANDROID-17312693 | Alto | 5.1 y versiones anteriores |
| CVE-2015-1528 | ANDROID-19334482 [2] | Alto | 5.1 y versiones anteriores |
Vulnerabilidad de elevación de privilegios en el almacén de claves
Una vulnerabilidad de elevación de privilegios en el almacén de claves podría permitir que una aplicación maliciosa ejecute código arbitrario dentro del contexto del servicio del almacén de claves. Esto podría permitir el uso no autorizado de las claves que almacena Keystore, incluidas las claves respaldadas por hardware.
Este problema se calificó como de gravedad alta porque se puede usar para obtener privilegios a los que no puede acceder una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas |
|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Alto | 5.1 y versiones anteriores |
Vulnerabilidad de elevación de privilegios en la región
Una vulnerabilidad de elevación de privilegios en la región podría, a través de la creación de un mensaje malicioso para un servicio, permitir que una aplicación maliciosa ejecute código arbitrario dentro del contexto del servicio de destino.
Este problema se calificó como de gravedad alta porque se puede usar para obtener privilegios a los que no puede acceder una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas |
|---|---|---|---|
| CVE-2015-3849 | ANDROID-20883006 [2] | Alto | 5.1 y versiones anteriores |
La vulnerabilidad de elevación de privilegios en los SMS permite omitir las notificaciones
Una vulnerabilidad de elevación de privilegios en la forma en que Android procesa los mensajes SMS podría permitir que una aplicación maliciosa envíe un mensaje SMS que omita la notificación de advertencia de SMS con tarifa premium.
Este problema se calificó como de gravedad alta porque se puede usar para obtener privilegios a los que no puede acceder una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas |
|---|---|---|---|
| CVE-2015-3858 | ANDROID-22314646 | Alto | 5.1 y versiones anteriores |
Vulnerabilidad de elevación de privilegios en la pantalla de bloqueo
Una vulnerabilidad de elevación de privilegios en la pantalla de bloqueo podría permitir que un usuario malintencionado omita la pantalla de bloqueo haciendo que falle. Este problema se clasifica como una vulnerabilidad solo en Android 5.0 y 5.1. Si bien es posible hacer que la IU del sistema falle desde la pantalla de bloqueo de una manera similar en 4.4, no se puede acceder a la pantalla principal y se debe reiniciar el dispositivo para recuperarlo.
Este problema se calificó como de gravedad moderada porque, en teoría, permite que alguien con acceso físico a un dispositivo instale apps de terceros sin que el propietario del dispositivo apruebe los permisos. También puede permitir que el atacante vea datos de contactos, registros de llamadas, mensajes SMS y otros datos que normalmente están protegidos con un permiso de nivel "peligroso".
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas |
|---|---|---|---|
| CVE-2015-3860 | ANDROID-22214934 | Moderada | 5.1 y 5.0 |
Denegación del servicio de vulnerabilidad en Mediaserver
Una vulnerabilidad de denegación de servicio en mediaserver podría permitir que un atacante local bloquee temporalmente el acceso a un dispositivo afectado.
Este problema se calificó como de gravedad baja porque un usuario podría reiniciar el dispositivo en modo seguro para quitar una aplicación maliciosa que aprovecha este problema. También es posible hacer que mediaserver procese el archivo malicioso de forma remota a través de la Web o por MMS. En ese caso, el proceso de mediaserver falla y el dispositivo sigue siendo utilizable.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas |
|---|---|---|---|
| CVE-2015-3861 | ANDROID-21296336 | Bajo | 5.1 y versiones anteriores |