Publicado el 5 de octubre de 2015 | Actualizado el 28 de abril de 2016
Lanzamos una actualización de seguridad para dispositivos Nexus mediante una actualización por aire (OTA) como parte de nuestro proceso de lanzamiento mensual de boletines de seguridad de Android. Las imágenes del firmware de Nexus también se lanzaron en el sitio de Google Developer. Las compilaciones LMY48T o posteriores (como LMY48W) y Android M con el nivel de parche de seguridad del 1 de octubre de 2015 o posterior abordan estos problemas. Consulta la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad.
Los socios recibieron una notificación sobre estos problemas el 10 de septiembre de 2015 o antes. Los parches de código fuente para estos problemas se lanzaron en el repositorio del Proyecto de código abierto de Android (AOSP).
El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución de código remoto en un dispositivo afectado a través de varios métodos, como el correo electrónico, la navegación web y los MMS cuando se procesan archivos multimedia. La evaluación de gravedad se basa en el efecto que podría tener la explotación de la vulnerabilidad en un dispositivo afectado, siempre y cuando las mitigaciones de la plataforma y el servicio estén inhabilitadas para fines de desarrollo o si se eluden correctamente.
No recibimos informes de clientes que estén aprovechando estos problemas informados recientemente. Consulta la sección Mitigaciones para obtener detalles sobre las protecciónes de la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet, que mejoran la seguridad de la plataforma de Android. Recomendamos a todos los clientes que acepten estas actualizaciones en sus dispositivos.
Mitigaciones
Este es un resumen de las mitigaciones que proporciona la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet. Estas funciones reducen la probabilidad de que se puedan explotar vulnerabilidades de seguridad en Android.
- Las mejoras en las versiones más recientes de la plataforma de Android dificultan el aprovechamiento de muchos problemas en Android. Recomendamos a todos los usuarios que actualicen a la versión más reciente de Android siempre que sea posible.
- El equipo de Seguridad de Android supervisa de forma activa los abusos con Verify Apps y SafetyNet, que advertirán sobre las aplicaciones potencialmente dañinas que se instalarán. Las herramientas de acceso raíz de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones fuera de Google Play, Verificar aplicaciones está habilitado de forma predeterminada y les advertirá a los usuarios sobre las aplicaciones de acceso raíz conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de elevación de privilegios. Si ya se instaló una aplicación de este tipo, Verificar aplicaciones le notificará al usuario y intentará quitarla.
- Según corresponda, Google actualizó las aplicaciones de Hangouts y Messenger para que el contenido multimedia no se pase automáticamente a procesos vulnerables (como mediaserver).
Agradecimientos
Queremos agradecer a los siguientes investigadores por sus contribuciones:
- Brennan Lautner: CVE-2015-3863
- Chiachih Wu y Xuxian Jiang del equipo C0RE de Qihoo 360: CVE-2015-3868, CVE-2015-3869 y CVE-2015-3862
- Yajin Zhou, Lei Wu y Xuxian Jiang del equipo C0RE de Qihoo 360: CVE-2015-3865
- Daniel Micay (daniel.micay@copperhead.co) en Copperhead Security: CVE-2015-3875
- dragonltx del equipo de seguridad de dispositivos móviles de Alibaba: CVE-2015-6599
- Ian Beer y Steven Vittitoe de Google Project Zero: CVE-2015-6604
- Joaquín Rinaudo (@xeroxnir) e Iván Arce (@4Dgifts) del Programa STIC de la Fundación Dr. Manuel Sadosky, Buenos Aires, Argentina: CVE-2015-3870
- Josh Drake de Zimperium: CVE-2015-3876, CVE-2015-6602
- Jordan Gruskovnjak de Exodus Intelligence (@jgrusko): CVE-2015-3867
- Peter Pi de Trend Micro: CVE-2015-3872 y CVE-2015-3871
- Ping Li de Qihoo 360 Technology Co. Ltd.: CVE-2015-3878
- Seven Shen: CVE-2015-6600, CVE-2015-3847
- Wangtao(neobyte) del equipo X de Baidu: CVE-2015-6598
- Wish Wu de Trend Micro Inc. (@wish_wu): CVE-2015-3823
- Michael Roland de JR-Center u'smile en la Universidad de Ciencias Aplicadas, Alta Austria/ Hagenberg: CVE-2015-6606
También queremos agradecer las contribuciones del equipo de seguridad de Chrome, el equipo de seguridad de Google, Project Zero y otras personas de Google por informar varios problemas que se solucionaron en este boletín.
Detalles de la vulnerabilidad de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche del 01/10/2015. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones afectadas y la fecha en que se informó. Cuando está disponible, vinculamos el cambio de AOSP que solucionó el problema al ID de error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a números que siguen al ID del error.
Vulnerabilidades de ejecución de código remoto en libstagefright
Existen vulnerabilidades en libstagefright que podrían permitir que un atacante, durante el procesamiento de datos y archivos multimedia de un archivo creado especialmente, cause daños en la memoria y ejecución de código remota en el servicio de mediaserver.
Estos problemas se clasifican como de gravedad crítica debido a la posibilidad de ejecución remota de código como un servicio con privilegios. Los componentes afectados tienen acceso a transmisiones de audio y video, así como a privilegios a los que las aplicaciones de terceros no pueden acceder de forma habitual.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-3873 | ANDROID-20674086 [2,3,4] | Crítico | 5.1 y versiones anteriores | Interna de Google |
| ANDROID-20674674 [2,3,4] | ||||
| ANDROID-20718524 | ||||
| ANDROID-21048776 | ||||
| ANDROID-21443020 | ||||
| ANDROID-21814993 | ||||
| ANDROID-22008959 | ||||
| ANDROID-22077698 | ||||
| ANDROID-22388975 | ||||
| ANDROID-22845824 | ||||
| ANDROID-23016072 | ||||
| ANDROID-23247055 | ||||
| ANDROID-23248776 | ||||
| ANDROID-20721050 | Crítico | 5.0 y 5.1 | Interna de Google | |
| CVE-2015-3823 | ANDROID-21335999 | Crítico | 5.1 y versiones anteriores | 20 de mayo de 2015 |
| CVE-2015-6600 | ANDROID-22882938 | Crítico | 5.1 y versiones anteriores | 31 de julio de 2015 |
| CVE-2015-6601 | ANDROID-22935234 | Crítico | 5.1 y versiones anteriores | 3 de agosto de 2015 |
| CVE-2015-3869 | ANDROID-23036083 | Crítico | 5.1 y versiones anteriores | 4 de agosto de 2015 |
| CVE-2015-3870 | ANDROID-22771132 | Crítico | 5.1 y versiones anteriores | 5 de agosto de 2015 |
| CVE-2015-3871 | ANDROID-23031033 | Crítico | 5.1 y versiones anteriores | 6 de agosto de 2015 |
| CVE-2015-3868 | ANDROID-23270724 | Crítico | 5.1 y versiones anteriores | 6 de agosto de 2015 |
| CVE-2015-6604 | ANDROID-23129786 | Crítico | 5.1 y versiones anteriores | 11 de agosto de 2015 |
| CVE-2015-3867 | ANDROID-23213430 | Crítico | 5.1 y versiones anteriores | 14 de agosto de 2015 |
| CVE-2015-6603 | ANDROID-23227354 | Crítico | 5.1 y versiones anteriores | 15 de agosto de 2015 |
| CVE-2015-3876 | ANDROID-23285192 | Crítico | 5.1 y versiones anteriores | 15 de agosto de 2015 |
| CVE-2015-6598 | ANDROID-23306638 | Crítico | 5.1 y versiones anteriores | 18 de agosto de 2015 |
| CVE-2015-3872 | ANDROID-23346388 | Crítico | 5.1 y versiones anteriores | 19 de agosto de 2015 |
| CVE-2015-6599 | ANDROID-23416608 | Crítico | 5.1 y versiones anteriores | 21 de agosto de 2015 |
Vulnerabilidades de ejecución de código remoto en Sonivox
Existen vulnerabilidades en Sonivox que podrían permitir que un atacante, durante el procesamiento de un archivo multimedia creado especialmente, cause daños en la memoria y ejecución de código remota en el servicio de mediaserver. Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución remota de código como un servicio con privilegios. El componente afectado tiene acceso a transmisiones de audio y video, así como a privilegios a los que las aplicaciones de terceros no pueden acceder de forma habitual.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-3874 | ANDROID-23335715 | Crítico | 5.1 y versiones anteriores | Múltiples |
| ANDROID-23307276 [2] | ||||
| ANDROID-23286323 |
Vulnerabilidades de ejecución de código remoto en libutils
Existen vulnerabilidades en libutils, una biblioteca genérica, en el procesamiento de archivos de audio. Estas vulnerabilidades podrían permitir que un atacante, durante el procesamiento de un archivo creado de forma especial, cause corrupción de memoria y ejecución remota de código en un servicio que use esta biblioteca, como mediaserver.
La funcionalidad afectada se proporciona como una API de la aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y reproducción de contenido multimedia en el navegador. Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código en un servicio con privilegios. El componente afectado tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no pueden acceder de forma normal.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-3875 | ANDROID-22952485 | Crítico | 5.1 y versiones anteriores | 15 de agosto de 2015 |
| CVE-2015-6602 | ANDROID-23290056 [2] | Crítico | 5.1 y versiones anteriores | 15 de agosto de 2015 |
Vulnerabilidad de ejecución de código remoto en Skia
Se puede aprovechar una vulnerabilidad en el componente Skia cuando se procesa un archivo multimedia creado de forma especial, lo que podría provocar corrupción de memoria y ejecución remota de código en un proceso con privilegios. Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución remota de código a través de varios métodos de ataque, como correo electrónico, navegación web y MMS, cuando se procesan archivos multimedia.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-3877 | ANDROID-20723696 | Crítico | 5.1 y versiones anteriores | 30 de jul de 2015 |
Vulnerabilidades de ejecución de código remoto en libFLAC
Existe una vulnerabilidad en libFLAC en el procesamiento de archivos multimedia. Estas vulnerabilidades podrían permitir que un atacante, durante el procesamiento de un archivo creado especialmente, cause daños en la memoria y ejecución remota de código.
La funcionalidad afectada se proporciona como una API de la aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, como la reproducción de contenido multimedia en el navegador. Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución remota de código en un servicio con privilegios. El componente afectado tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no pueden acceder de forma normal.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2014-9028 | ANDROID-18872897 [2] | Crítico | 5.1 y versiones anteriores | 14 de noviembre de 2014 |
Vulnerabilidad de elevación de privilegios en el almacén de claves
Una aplicación maliciosa puede aprovechar una vulnerabilidad de elevación de privilegios en el componente KeyStore cuando llama a las APIs de KeyStore. Esta aplicación podría causar corrupción de memoria y ejecución de código arbitraria en el contexto de KeyStore. Este problema se calificó como de gravedad alta porque se puede usar para acceder a privilegios a los que no se puede acceder directamente desde una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-3863 | ANDROID-22802399 | Alto | 5.1 y versiones anteriores | 28 de julio de 2015 |
Vulnerabilidad de elevación de privilegios en Media Player Framework
Una vulnerabilidad de elevación de privilegios en el componente del framework del reproductor multimedia podría permitir que una aplicación maliciosa ejecute código arbitrario dentro del contexto de mediaserver. Este problema se calificó como de gravedad alta porque permite que una aplicación maliciosa acceda a privilegios a los que no puede acceder una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-3879 | ANDROID-23223325 [2]* | Alto | 5.1 y versiones anteriores | 14 de agosto de 2015 |
* Un segundo cambio para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el tiempo de ejecución de Android
Una vulnerabilidad de elevación de privilegios en Android Runtime puede permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto de una aplicación del sistema con privilegios elevados. Este problema se calificó como de gravedad alta porque se puede usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-3865 | ANDROID-23050463 [2] | Alto | 5.1 y versiones anteriores | 8 de agosto de 2015 |
Vulnerabilidades de elevación de privilegios en Mediaserver
Existen varias vulnerabilidades en mediaserver que pueden permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto de un servicio nativo con privilegios. Este problema se calificó como de gravedad alta porque se puede usar para acceder a privilegios a los que no se puede acceder directamente desde una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6596 | ANDROID-20731946 | Alto | 5.1 y versiones anteriores | Múltiples |
| ANDROID-20719651* | ||||
| ANDROID-19573085 | Alto | 5.0 - 6.0 | Interna de Google |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el kit de evaluación de elementos seguros
Una vulnerabilidad en el complemento SEEK (kit de evaluación de elementos seguros, también conocido como API de SmartCard) podría permitir que una aplicación obtenga permisos elevados sin solicitarlos. Este problema se calificó como de gravedad alta porque se puede usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6606 | ANDROID-22301786* | Alto | 5.1 y versiones anteriores | 30 de junio de 2015 |
* La actualización que soluciona este problema se encuentra en el sitio de SEEK para Android.
Vulnerabilidad de elevación de privilegios en la proyección de contenido multimedia
Una vulnerabilidad en el componente de proyección multimedia puede permitir que se divulguen los datos del usuario en forma de capturas de pantalla. El problema se debe a que el sistema operativo permite nombres de aplicaciones demasiado largos. El uso de estos nombres largos por parte de una aplicación maliciosa local puede impedir que el usuario vea una advertencia sobre la grabación de pantalla. Este problema se calificó como de gravedad moderada porque se puede usar para obtener permisos elevados de forma inadecuada.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-3878 | ANDROID-23345192 | Moderada | 5.0 - 6.0 | 18 de agosto de 2015 |
Vulnerabilidad de elevación de privilegios en Bluetooth
Una vulnerabilidad en el componente Bluetooth de Android podría permitir que una aplicación elimine los mensajes SMS almacenados. Este problema se calificó como de gravedad moderada porque se puede usar para obtener permisos elevados de forma inadecuada.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-3847 | ANDROID-22343270 | Moderada | 5.1 y versiones anteriores | 8 de julio de 2015 |
Vulnerabilidades de elevación de privilegios en SQLite
Se descubrieron varias vulnerabilidades en el motor de análisis de SQLite. Una aplicación local puede aprovecharse de estas vulnerabilidades, lo que puede provocar que otra aplicación o servicio ejecute consultas de SQL arbitrarias. Si se aprovecha de manera correcta, podría dar como resultado la ejecución de código arbitrario en el contexto de la aplicación de destino.
El 8 de abril de 2015, se subió una corrección a AOSP principal, que actualizó la versión de SQLite a la 3.8.9: https://android-review.googlesource.com/#/c/145961/
Este boletín contiene parches para las versiones de SQLite en Android 4.4 (SQLite 3.7.11), Android 5.0 y 5.1 (SQLite 3.8.6).
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6607 | ANDROID-20099586 | Moderada | 5.1 y versiones anteriores | 7 de abril de 2015 Conocido públicamente |
Vulnerabilidades de denegación del servicio en Mediaserver
Existen varias vulnerabilidades en mediaserver que pueden provocar una denegación del servicio haciendo que falle el proceso de mediaserver. Estos problemas se clasifican como de gravedad baja porque el efecto se produce por una falla del servidor de contenido multimedia, lo que genera una denegación del servicio temporal local.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6605 | ANDROID-20915134 | Bajo | 5.1 y versiones anteriores | Interna de Google |
| ANDROID-23142203 | ||||
| ANDROID-22278703 | Bajo | 5.0 - 6.0 | Interna de Google | |
| CVE-2015-3862 | ANDROID-22954006 | Bajo | 5.1 y versiones anteriores | 2 de agosto de 2015 |
Revisiones
- 5 de octubre de 2015: Se publicó el boletín.
- 7 de octubre de 2015: Se actualizó el boletín con referencias de AOSP. Se aclararon las referencias de errores para CVE-2014-9028.
- 12 de octubre de 2015: Se actualizaron los reconocimientos de CVE-2015-3868, CVE-2015-3869, CVE-2015-3865 y CVE-2015-3862.
- 22 de enero de 2016: Se actualizaron los reconocimientos de CVE-2015-6606.
- 28 de abril de 2016: Se agregó CVE-2015-6603 y se corrigió el error tipográfico de CVE-2014-9028.