Publicado el 2 de noviembre de 2015
Lanzamos una actualización de seguridad para dispositivos Nexus mediante una actualización por aire (OTA) como parte de nuestro proceso de lanzamiento mensual de boletines de seguridad de Android. Las imágenes del firmware de Nexus también se lanzaron en el sitio de Google Developer. Las compilaciones LMY48X o posteriores y Android Marshmallow con el nivel de parche de seguridad del 1 de noviembre de 2015 o posterior abordan estos problemas. Consulta la sección Preguntas y respuestas comunes para obtener más información.
Los socios recibieron una notificación sobre estos problemas el 5 de octubre de 2015 o antes. Los parches de código fuente para estos problemas se lanzarán en el repositorio del Proyecto de código abierto de Android (AOSP) en las próximas 48 horas. Revisaremos este boletín con los vínculos de AOSP cuando estén disponibles.
El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución de código remoto en un dispositivo afectado a través de varios métodos, como el correo electrónico, la navegación web y los MMS cuando se procesan archivos multimedia. La evaluación de gravedad se basa en el efecto que podría tener la explotación de la vulnerabilidad en un dispositivo afectado, siempre y cuando las mitigaciones de la plataforma y el servicio estén inhabilitadas para fines de desarrollo o si se eluden correctamente.
No recibimos informes de clientes que estén aprovechando estos problemas informados recientemente. Consulta la sección Mitigaciones para obtener detalles sobre las protecciónes de la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet, que mejoran la seguridad de la plataforma de Android. Recomendamos a todos los clientes que acepten estas actualizaciones en sus dispositivos.
Mitigaciones
Este es un resumen de las mitigaciones que proporciona la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet. Estas funciones reducen la probabilidad de que se puedan explotar vulnerabilidades de seguridad en Android.
- Las mejoras en las versiones más recientes de la plataforma de Android dificultan el aprovechamiento de muchos problemas en Android. Recomendamos a todos los usuarios que actualicen a la versión más reciente de Android siempre que sea posible.
- El equipo de Seguridad de Android supervisa de forma activa los abusos con Verify Apps y SafetyNet, que advertirán sobre las aplicaciones potencialmente dañinas que se instalarán. Las herramientas de acceso raíz de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones fuera de Google Play, Verificar aplicaciones está habilitado de forma predeterminada y les advertirá a los usuarios sobre las aplicaciones de acceso raíz conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de elevación de privilegios. Si ya se instaló una aplicación de este tipo, Verificar aplicaciones le notificará al usuario y intentará quitarla.
- Según corresponda, las aplicaciones de Google Hangouts y Messenger no pasan contenido multimedia automáticamente a procesos como mediaserver.
Agradecimientos
Queremos agradecer a los siguientes investigadores por sus contribuciones:
- Abhishek Arya, Oliver Chang y Martin Barbella, equipo de seguridad de Google Chrome: CVE-2015-6608
- Daniel Micay (daniel.micay@copperhead.co) en Copperhead Security: CVE-2015-6609
- Dongkwan Kim, del System Security Lab, KAIST (dkay@kaist.ac.kr): CVE-2015-6614
- Hongil Kim, del System Security Lab, KAIST (hongilk@kaist.ac.kr): CVE-2015-6614
- Jack Tang de Trend Micro (@jacktang310): CVE-2015-6611
- Peter Pi de Trend Micro: CVE-2015-6611
- Natalie Silvanovich de Project Zero de Google: CVE-2015-6608
- Qidan He (@flanker_hqd) y Wen Xu (@antlr7) de KeenTeam (@K33nTeam, http://k33nteam.org/): CVE-2015-6612
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) de Qihoo 360 Technology CC o.Ltd: CVE-2015-6612
- Seven Shen de Trend Micro: CVE-2015-6610
Detalles de la vulnerabilidad de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche del 1/11/2015. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones afectadas y la fecha en que se informó. Cuando está disponible, vinculamos el cambio de AOSP que solucionó el problema al ID de error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a números que siguen al ID del error.
Vulnerabilidades de ejecución de código remoto en Mediaserver
Durante el procesamiento de datos y archivos multimedia de un archivo creado especialmente, las vulnerabilidades en mediaserver podrían permitir que un atacante cause daños en la memoria y ejecución de código remoto durante el proceso de mediaserver.
La funcionalidad afectada se proporciona como una parte principal del sistema operativo y existen varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y reproducción de contenido multimedia en el navegador.
Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del servicio de mediaserver. El servicio de mediaserver tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no pueden acceder de forma normal.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6608 | ANDROID-19779574 | Crítico | 5.0, 5.1 y 6.0 | Interna de Google |
| ANDROID-23680780 | ||||
| ANDROID-23876444 | ||||
| ANDROID-23881715 | Crítico | 4.4, 5.0, 5.1 y 6.0 | Interna de Google | |
| ANDROID-14388161 | Crítico | 4.4 y 5.1 | Interna de Google | |
| ANDROID-23658148 | Crítico | 5.0, 5.1 y 6.0 | Interna de Google |
Remote Code Execution Vulnerability in libutils
Se puede aprovechar una vulnerabilidad en libutils, una biblioteca genérica, durante el procesamiento de archivos de audio. Esta vulnerabilidad podría permitir que un atacante, durante el procesamiento de un archivo creado especialmente, cause daños en la memoria y ejecución remota de código.
La funcionalidad afectada se proporciona como una API, y hay varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y la reproducción de contenido multimedia en el navegador. Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código en un servicio con privilegios. El componente afectado tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no pueden acceder de forma normal.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6609 | ANDROID-22953624 [2] | Crítico | 6.0 y versiones anteriores | 3 de agosto de 2015 |
Vulnerabilidades de divulgación de información en Mediaserver
Hay vulnerabilidades de divulgación de información en mediaserver que pueden permitir eludir las medidas de seguridad existentes para aumentar la dificultad de los atacantes que explotan la plataforma.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6611 | ANDROID-23905951 [2] [3] | Alto | 6.0 y versiones anteriores | 7 de septiembre de 2015 |
| ANDROID-23912202* | ||||
| ANDROID-23953967* | ||||
| ANDROID-23696300 | Alto | 6.0 y versiones anteriores | 31 de agosto de 2015 | |
| ANDROID-23600291 | Alto | 6.0 y versiones anteriores | 26 de agosto de 2015 | |
| ANDROID-23756261 [2] | Alto | 6.0 y versiones anteriores | 26 de agosto de 2015 | |
| ANDROID-23540907 [2] | Alto | 5.1 y versiones anteriores | 25 de agosto de 2015 | |
| ANDROID-23541506 | Alto | 6.0 y versiones anteriores | 25 de agosto de 2015 | |
| ANDROID-23284974* | ||||
| ANDROID-23542351* | ||||
| ANDROID-23542352* | ||||
| ANDROID-23515142 | Alto | 5.1 y versiones anteriores | 19 de agosto de 2015 |
* El parche para este error se incluye en otros vínculos de AOSP proporcionados.
Vulnerabilidad de elevación de privilegios en libstagefright
Hay una vulnerabilidad de elevación de privilegios en libstagefright que puede permitir que una aplicación maliciosa local cause daños en la memoria y ejecución de código arbitraria dentro del contexto del servicio de mediaserver. Si bien este problema se calificaría como crítico, lo evaluamos como de gravedad alta debido a que es menos probable que se pueda aprovechar de forma remota.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6610 | ANDROID-23707088 [2] | Alto | 6.0 y versiones anteriores | 19 de agosto de 2015 |
Vulnerabilidad de elevación de privilegios en libmedia
Hay una vulnerabilidad en libmedia que puede permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto del servicio de mediaserver. Este problema se calificó como de gravedad alta porque se puede usar para acceder a privilegios a los que no puede acceder directamente una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6612 | ANDROID-23540426 | Alto | 6.0 y versiones anteriores | 23 de agosto de 2015 |
Vulnerabilidad de elevación de privilegios en Bluetooth
Hay una vulnerabilidad en Bluetooth que puede permitir que una aplicación local envíe comandos a un puerto de depuración de escucha en el dispositivo. Este problema se calificó como de gravedad alta porque se puede usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6613 | ANDROID-24371736 | Alto | 6.0 | Interna de Google |
Vulnerabilidad de elevación de privilegios en telefonía
Una vulnerabilidad en el componente de telefonía que puede permitir que una aplicación local maliciosa transmita datos no autorizados a las interfaces de red restringidas, lo que podría afectar los cargos de datos. También podría impedir que el dispositivo reciba llamadas y permitir que un atacante controle la configuración de silenciamiento de las llamadas. Este problema se calificó como de gravedad moderada porque se puede usar para obtener permisos "peligrosos" de forma inadecuada.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones afectadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6614 | ANDROID-21900139 [2] [3] | Moderada | 5.0, 5.1 | 8 de junio de 2015 |
Preguntas y respuestas frecuentes
En esta sección, se revisarán las respuestas a preguntas frecuentes que pueden surgir después de leer este boletín.
1. ¿Cómo puedo determinar si mi dispositivo está actualizado para solucionar estos problemas?
Las compilaciones LMY48X o posteriores y Android Marshmallow con el nivel de parche de seguridad del 1 de noviembre de 2015 o posterior abordan estos problemas. Consulta la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad. Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de la cadena de parches en: [ro.build.version.security_patch]:[2015-11-01]
Revisiones
- 2 de noviembre de 2015: Fecha de publicación original