Publicado el 7 de diciembre de 2015 | Actualizado el 7 de marzo de 2016
Lanzamos una actualización de seguridad para dispositivos Nexus mediante una actualización por aire (OTA) como parte de nuestro proceso de lanzamiento mensual de boletines de seguridad de Android. Las imágenes del firmware de Nexus también se lanzaron en el sitio de Google Developer. Las compilaciones LMY48Z o posteriores y Android 6.0 con el nivel de parche de seguridad del 1 de diciembre de 2015 o posterior abordan estos problemas. Consulta la sección Preguntas y respuestas comunes para obtener más información.
Los socios recibieron notificaciones sobre estos problemas y actualizaciones al respecto el 2 de noviembre de 2015 o antes. Cuando corresponda, los parches de código fuente para estos problemas se lanzaron en el repositorio del Proyecto de código abierto de Android (AOSP).
El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución de código remoto en un dispositivo afectado a través de varios métodos, como el correo electrónico, la navegación web y los MMS cuando se procesan archivos multimedia. La evaluación de gravedad se basa en el efecto que podría tener la explotación de la vulnerabilidad en un dispositivo afectado, siempre y cuando las mitigaciones de la plataforma y el servicio estén inhabilitadas para fines de desarrollo o si se eluden correctamente.
No recibimos informes de clientes que estén aprovechando estos problemas informados recientemente. Consulta la sección Mitigaciones para obtener detalles sobre las protecciónes de la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet, que mejoran la seguridad de la plataforma de Android. Recomendamos a todos los clientes que acepten estas actualizaciones en sus dispositivos.
Mitigaciones
Este es un resumen de las mitigaciones que proporciona la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet. Estas funciones reducen la probabilidad de que se puedan explotar vulnerabilidades de seguridad de forma exitosa en Android.
- Las mejoras en las versiones más recientes de la plataforma de Android dificultan el aprovechamiento de muchos problemas en Android. Recomendamos a todos los usuarios que actualicen a la versión más reciente de Android siempre que sea posible.
- El equipo de Seguridad de Android supervisa de forma activa los abusos con Verify Apps y SafetyNet, que advertirán sobre las aplicaciones potencialmente dañinas que se instalarán. Las herramientas de acceso raíz de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones fuera de Google Play, Verificar aplicaciones está habilitado de forma predeterminada y les advertirá a los usuarios sobre las aplicaciones de acceso raíz conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de elevación de privilegios. Si ya se instaló una aplicación de este tipo, Verificar aplicaciones le notificará al usuario y intentará quitarla.
- Según corresponda, las aplicaciones de Google Hangouts y Messenger no pasan contenido multimedia automáticamente a procesos como mediaserver.
Agradecimientos
Queremos agradecer a los siguientes investigadores por sus contribuciones:
- Abhishek Arya, Oliver Chang y Martin Barbella, del equipo de seguridad de Google Chrome: CVE-2015-6616, CVE-2015-6617, CVE-2015-6623, CVE-2015-6626, CVE-2015-6619, CVE-2015-6633 y CVE-2015-6634
- Flanker (@flanker_hqd) de KeenTeam (@K33nTeam): CVE-2015-6620
- Guang Gong (龚广) (@oldfresher, higongguang@gmail.com) de Qihoo 360 Technology Co.Ltd: CVE-2015-6626
- Mark Carter (@hanpingchinese) de EmberMitre Ltd: CVE-2015-6630
- Michał Bednarski (https://github.com/michalbednarski): CVE-2015-6621
- Natalie Silvanovich de Google Project Zero: CVE-2015-6616
- Peter Pi de Trend Micro: CVE-2015-6616 y CVE-2015-6628
- Qidan He (@flanker_hqd) y Marco Grassi (@marcograss) de KeenTeam (@K33nTeam): CVE-2015-6622
- Tzu-Yin (Nina) Tai: CVE-2015-6627
- Joaquín Rinaudo (@xeroxnir) del Programa STIC de la Fundación Dr. Manuel Sadosky, Buenos Aires, Argentina: CVE-2015-6631
- Wangtao (neobyte) del equipo X de Baidu: CVE-2015-6626
Detalles de la vulnerabilidad de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche del 01/12/2015. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones actualizadas y la fecha en que se informó. Cuando esté disponible, vincularemos el cambio de AOSP que solucionó el problema al ID de error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a números que siguen al ID del error.
Vulnerabilidades de ejecución de código remoto en Mediaserver
Durante el procesamiento de datos y archivos multimedia de un archivo creado especialmente, las vulnerabilidades en mediaserver podrían permitir que un atacante cause daños en la memoria y ejecución de código remoto durante el proceso de mediaserver.
La funcionalidad afectada se proporciona como una parte principal del sistema operativo y existen varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y reproducción de contenido multimedia en el navegador.
Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del servicio de mediaserver. El servicio de mediaserver tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no pueden acceder de forma normal.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6616 | ANDROID-24630158 | Crítico | 6.0 y versiones anteriores | Interna de Google |
| ANDROID-23882800 | Crítico | 6.0 y versiones anteriores | Interna de Google | |
| ANDROID-17769851 | Crítico | 5.1 y versiones anteriores | Interna de Google | |
| ANDROID-24441553 | Crítico | 6.0 y versiones anteriores | 22 de septiembre de 2015 | |
| ANDROID-24157524 | Crítico | 6.0 | 8 de septiembre de 2015 |
Vulnerabilidad de ejecución de código remoto en Skia
Se puede aprovechar una vulnerabilidad en el componente Skia cuando se procesa un archivo multimedia creado de forma especial, lo que podría provocar corrupción de memoria y ejecución remota de código en un proceso con privilegios. Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución remota de código a través de varios métodos de ataque, como correo electrónico, navegación web y MMS, cuando se procesan archivos multimedia.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6617 | ANDROID-23648740 | Crítico | 6.0 y versiones anteriores | Función interna de Google |
Elevación de privilegios en el kernel
Una vulnerabilidad de elevación de privilegios en el kernel del sistema podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto raíz del dispositivo. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local y solo se pueda reparar si se vuelve a escribir el sistema operativo.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6619 | ANDROID-23520714 | Crítico | 6.0 y versiones anteriores | 7 de junio de 2015 |
Vulnerabilidades de ejecución de código remoto en el controlador de pantalla
Hay vulnerabilidades en los controladores de pantalla que, cuando se procesa un archivo multimedia, pueden causar daños en la memoria y una posible ejecución de código arbitraria en el contexto del controlador de modo de usuario que carga mediaserver. Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto a través de varios métodos de ataque, como correo electrónico, navegación web y MMS, cuando se procesan archivos multimedia.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6633 | ANDROID-23987307* | Crítico | 6.0 y versiones anteriores | Interna de Google |
| CVE-2015-6634 | ANDROID-24163261 [2] [3] [4] | Crítico | 5.1 y versiones anteriores | Interna de Google |
*El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Remote Code Execution Vulnerability in Bluetooth
Una vulnerabilidad en el componente Bluetooth de Android podría permitir la ejecución de código remoto. Sin embargo, se requieren varios pasos manuales para que esto suceda. Para ello, se requiere un dispositivo vinculado correctamente, después de que se habilite el perfil de red de área personal (PAN) (por ejemplo, con la vinculación mediante Bluetooth) y se vincule el dispositivo. La ejecución de código remoto estaría en el privilegio del servicio Bluetooth. Un dispositivo solo es vulnerable a este problema desde un dispositivo vinculado correctamente mientras está cerca.
Este problema se calificó como de gravedad alta porque un atacante podría ejecutar código arbitrario de forma remota solo después de realizar varios pasos manuales y desde un atacante cercano a nivel local que antes tenía permitido vincular un dispositivo.
| CVE | Errores | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6618 | ANDROID-24595992* | Alto | 4.4, 5.0 y 5.1 | 28 de septiembre de 2015 |
*El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidades de elevación de privilegios en libstagefright
Existen varias vulnerabilidades en libstagefright que podrían permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto del servicio de mediaserver. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6620 | ANDROID-24123723 | Alto | 6.0 y versiones anteriores | 10 de septiembre de 2015 |
| ANDROID-24445127 | Alto | 6.0 y versiones anteriores | 2 de septiembre de 2015 |
Vulnerabilidad de elevación de privilegios en SystemUI
Cuando se configura una alarma con la aplicación de reloj, una vulnerabilidad en el componente SystemUI podría permitir que una aplicación ejecute una tarea con un nivel de privilegio elevado. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6621 | ANDROID-23909438 | Alto | 5.0, 5.1 y 6.0 | 7 de septiembre de 2015 |
Vulnerabilidad de divulgación de información en la biblioteca de frameworks nativos
Una vulnerabilidad de divulgación de información en la biblioteca de frameworks nativos de Android podría permitir eludir las medidas de seguridad existentes para aumentar la dificultad de los atacantes que explotan la plataforma. Estos problemas se clasifican como de gravedad alta porque también se pueden usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6622 | ANDROID-23905002 | Alto | 6.0 y versiones anteriores | 7 de septiembre de 2015 |
Vulnerabilidad de elevación de privilegios en Wi-Fi
Una vulnerabilidad de elevación de privilegios en Wi-Fi podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de un servicio del sistema elevado. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6623 | ANDROID-24872703 | Alto | 6.0 | Interna de Google |
Vulnerabilidad de elevación de privilegios en el servidor del sistema
Una vulnerabilidad de elevación de privilegios en el componente del servidor del sistema podría permitir que una aplicación local maliciosa obtenga acceso a información relacionada con el servicio. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6624 | ANDROID-23999740 | Alto | 6.0 | Función interna de Google |
Vulnerabilidades de divulgación de información en libstagefright
Hay vulnerabilidades de divulgación de información en libstagefright que, durante la comunicación con mediaserver, podrían permitir eludir las medidas de seguridad existentes para aumentar la dificultad de los atacantes que explotan la plataforma. Estos problemas se clasifican como de gravedad alta porque también se pueden usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6632 | ANDROID-24346430 | Alto | 6.0 y versiones anteriores | Interna de Google |
| CVE-2015-6626 | ANDROID-24310423 | Alto | 6.0 y versiones anteriores | 2 de septiembre de 2015 |
| CVE-2015-6631 | ANDROID-24623447 | Alto | 6.0 y versiones anteriores | 21 de agosto de 2015 |
Vulnerabilidad de divulgación de información en audio
Se podría aprovechar una vulnerabilidad en el componente de audio durante el procesamiento de archivos de audio. Esta vulnerabilidad podría permitir que una aplicación local maliciosa, durante el procesamiento de un archivo creado de forma especial, cause la divulgación de información. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6627 | ANDROID-24211743 | Alto | 6.0 y versiones anteriores | Interna de Google |
Vulnerabilidad de divulgación de información en el framework de Media
Hay una vulnerabilidad de divulgación de información en Media Framework que, durante la comunicación con mediaserver, podría permitir eludir las medidas de seguridad existentes para aumentar la dificultad de los atacantes que explotan la plataforma. Este problema se calificó como de gravedad alta porque también se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6628 | ANDROID-24074485 | Alto | 6.0 y versiones anteriores | 8 de septiembre de 2015 |
Vulnerabilidad de divulgación de información en Wi-Fi
Una vulnerabilidad en el componente Wi-Fi podría permitir que un atacante haga que el servicio Wi-Fi divulgue información. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6629 | ANDROID-22667667 | Alto | 5.1 y 5.0 | Interna de Google |
Vulnerabilidad de elevación de privilegios en el servidor del sistema
Una vulnerabilidad de elevación de privilegios en el servidor del sistema podría permitir que una aplicación maliciosa local obtenga acceso a la información relacionada con el servicio de Wi-Fi. Este problema se calificó como de gravedad moderada porque se podría usar para obtener permisos "peligrosos" de forma inadecuada.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6625 | ANDROID-23936840 | Moderada | 6.0 | Interna de Google |
Vulnerabilidad de divulgación de información en SystemUI
Una vulnerabilidad de divulgación de información en SystemUI podría permitir que una aplicación maliciosa local obtenga acceso a capturas de pantalla. Este problema se calificó como de gravedad moderada porque se podría usar para obtener permisos "peligrosos" de forma inadecuada.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6630 | ANDROID-19121797 | Moderada | 5.0, 5.1 y 6.0 | 22 de ene de 2015 |
Preguntas y respuestas frecuentes
En esta sección, se revisarán las respuestas a preguntas frecuentes que pueden surgir después de leer este boletín.
1. ¿Cómo puedo determinar si mi dispositivo está actualizado para solucionar estos problemas?
Las compilaciones LMY48Z o posteriores y Android 6.0 con el nivel de parche de seguridad del 1 de diciembre de 2015 o posterior abordan estos problemas. Consulta la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad. Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de la cadena de parches en [ro.build.version.security_patch]:[2015-12-01].
Revisiones
- 7 de diciembre de 2015: Fecha de publicación original
- 9 de diciembre de 2015: Se revisó el boletín para incluir vínculos al AOSP.
- 22 de diciembre de 2015: Se agregó el crédito faltante a la sección Agradecimientos.
- 7 de marzo de 2016: Se agregó el crédito faltante a la sección Agradecimientos.