Publicado el 4 de enero de 2016 | Actualizado el 28 de abril de 2016
Lanzamos una actualización de seguridad para dispositivos Nexus mediante una actualización por aire (OTA) como parte de nuestro proceso de lanzamiento mensual de boletines de seguridad de Android. Las imágenes del firmware de Nexus también se lanzaron en el sitio de Google Developer. Las compilaciones LMY49F o posteriores y Android 6.0 con el nivel de parche de seguridad del 1 de enero de 2016 o posterior abordan estos problemas. Consulta la sección Preguntas y respuestas comunes para obtener más información.
Los socios recibieron notificaciones sobre los problemas descritos en este boletín y se les proporcionaron actualizaciones el 7 de diciembre de 2015 o antes. Cuando corresponda, los parches de código fuente para estos problemas se lanzaron en el repositorio del Proyecto de código abierto de Android (AOSP).
El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución de código remoto en un dispositivo afectado a través de varios métodos, como el correo electrónico, la navegación web y los MMS cuando se procesan archivos multimedia. La evaluación de gravedad se basa en el efecto que podría tener la explotación de la vulnerabilidad en un dispositivo afectado, siempre y cuando las mitigaciones de la plataforma y el servicio estén inhabilitadas para fines de desarrollo o si se eluden correctamente.
No recibimos informes de clientes que estén aprovechando estos problemas informados recientemente. Consulta la sección Mitigaciones para obtener detalles sobre las protecciónes de la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet, que mejoran la seguridad de la plataforma de Android. Recomendamos a todos los clientes que acepten estas actualizaciones en sus dispositivos.
Mitigaciones
Este es un resumen de las mitigaciones que proporciona la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet. Estas funciones reducen la probabilidad de que se puedan explotar vulnerabilidades de seguridad de forma exitosa en Android.
- Las mejoras en las versiones más recientes de la plataforma de Android dificultan el aprovechamiento de muchos problemas en Android. Recomendamos a todos los usuarios que actualicen a la versión más reciente de Android siempre que sea posible.
- El equipo de Seguridad de Android supervisa de forma activa los abusos con Verify Apps y SafetyNet, que advertirán sobre las aplicaciones potencialmente dañinas que se instalarán. Las herramientas de acceso raíz de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones fuera de Google Play, Verificar aplicaciones está habilitado de forma predeterminada y les advertirá a los usuarios sobre las aplicaciones de acceso raíz conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de elevación de privilegios. Si ya se instaló una aplicación de este tipo, Verificar aplicaciones le notificará al usuario y intentará quitarla.
- Según corresponda, las aplicaciones de Google Hangouts y Messenger no pasan contenido multimedia automáticamente a procesos como mediaserver.
Agradecimientos
Queremos agradecer a los siguientes investigadores por sus contribuciones:
- Abhishek Arya, Oliver Chang y Martin Barbella, del equipo de seguridad de Google Chrome: CVE-2015-6636
- Sen Nie (@nforest_) y jfang de KEEN lab, Tencent (@K33nTeam): CVE-2015-6637
- Yabin Cui, del equipo de Bionic de Android: CVE-2015-6640
- Tom Craig de Google X: CVE-2015-6641
- Jann Horn (https://thejh.net): CVE-2015-6642
- ID de PGP de Jouni Malinen EFC895FA: CVE-2015-5310
- Quan Nguyen, del equipo de ingenieros de seguridad de la información de Google: CVE-2015-6644
- Gal Beniamini (@laginimaineb, http://bits-please.blogspot.com): CVE-2015-6639
Detalles de la vulnerabilidad de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche del 1/1/2016. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones actualizadas y la fecha en que se informó. Cuando esté disponible, vincularemos el cambio de AOSP que solucionó el problema al ID de error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a números que siguen al ID del error.
Remote Code Execution Vulnerability in Mediaserver
Durante el procesamiento de datos y archivos multimedia de un archivo creado especialmente, las vulnerabilidades en mediaserver podrían permitir que un atacante cause daños en la memoria y ejecución de código remoto durante el proceso de mediaserver.
La funcionalidad afectada se proporciona como una parte principal del sistema operativo y existen varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y reproducción de contenido multimedia en el navegador.
Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del servicio de mediaserver. El servicio de mediaserver tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no pueden acceder de forma normal.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6636 | ANDROID-25070493 | Crítico | 5.0, 5.1.1, 6.0, 6.0.1 | Interna de Google |
| ANDROID-24686670 | Crítico | 5.0, 5.1.1, 6.0, 6.0.1 | Interna de Google |
Vulnerabilidad de elevación de privilegios en el controlador misc-sd
Una vulnerabilidad de elevación de privilegios en el controlador misc-sd de MediaTek podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se vea afectado de forma permanente y local, en cuyo caso es posible que deba repararse con la reinstalación del sistema operativo.
| CVE | Errores | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6637 | ANDROID-25307013* | Crítico | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 de octubre de 2015 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el controlador de Imagination Technologies
Una vulnerabilidad de elevación de privilegios en un controlador de kernel de Imagination Technologies podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se calificó como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local, en cuyo caso es posible que se deba reparar el dispositivo volviendo a escribir el sistema operativo.
| CVE | Errores | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6638 | ANDROID-24673908* | Crítico | 5.0, 5.1.1, 6.0, 6.0.1 | Interna de Google |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidades de elevación de privilegios en Trustzone
Las vulnerabilidades de elevación de privilegios en la aplicación de Widevine QSEE TrustZone podrían permitir que una aplicación comprometida y con privilegios con acceso a QSEECOM ejecute código arbitrario en el contexto de Trustzone. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local. En ese caso, es posible que se deba reparar el dispositivo volviendo a escribir el firmware del sistema operativo.
| CVE | Errores | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6639 | ANDROID-24446875* | Crítico | 5.0, 5.1.1, 6.0, 6.0.1 | 23 de septiembre de 2015 |
| CVE-2015-6647 | ANDROID-24441554* | Crítico | 5.0, 5.1.1, 6.0, 6.0.1 | 27 de septiembre de 2015 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el kernel
Una vulnerabilidad de elevación de privilegios en el kernel podría permitir que una aplicación maliciosa local ejecute código arbitrario en el kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local, en cuyo caso es posible que se deba reparar el dispositivo volviendo a escribir el sistema operativo.
| CVE | Errores con el vínculo de AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6640 | ANDROID-20017123 | Crítico | 4.4.4, 5.0, 5.1.1, 6.0 | Interna de Google |
Vulnerabilidad de elevación de privilegios en Bluetooth
Una vulnerabilidad de elevación de privilegios en el componente Bluetooth podría permitir que un dispositivo remoto vinculado a través de Bluetooth obtenga acceso a la información privada del usuario (Contactos). Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades "peligrosas" de forma remota. Solo las aplicaciones de terceros instaladas de forma local pueden acceder a estos permisos.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6641 | ANDROID-23607427 [2] | Alto | 6.0 y 6.0.1 | Interna de Google |
Vulnerabilidad de divulgación de información en el kernel
Una vulnerabilidad de divulgación de información en el kernel podría permitir eludir las medidas de seguridad existentes para aumentar la dificultad de los atacantes que explotan la plataforma. Estos problemas se clasifican como de gravedad alta porque también se pueden usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6642 | ANDROID-24157888* | Alto | 4.4.4, 5.0, 5.1.1, 6.0 | 12 de septiembre de 2015 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el asistente de configuración
Una vulnerabilidad de elevación de privilegios en el Asistente de configuración podría permitir que un atacante con acceso físico al dispositivo obtenga acceso a la configuración del dispositivo y realice un restablecimiento manual del dispositivo. Este problema se calificó como de gravedad moderada porque se podría usar para eludir de forma incorrecta la protección del restablecimiento de la configuración de fábrica.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6643 | ANDROID-25290269 [2] | Moderada | 5.1.1, 6.0, 6.0.1 | Interna de Google |
Vulnerabilidad de elevación de privilegios en Wi-Fi
Una vulnerabilidad de elevación de privilegios en el componente Wi-Fi podría permitir que un atacante cercano obtenga acceso a la información relacionada con el servicio de Wi-Fi. Un dispositivo solo es vulnerable a este problema cuando está cerca de forma local. Este problema se calificó como de gravedad moderada porque se podría usar para obtener capacidades "normales" de forma remota. Solo las aplicaciones de terceros instaladas de forma local pueden acceder a estos permisos.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-5310 | ANDROID-25266660 | Moderada | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 de octubre de 2015 |
Vulnerabilidad de divulgación de información en Bouncy Castle
Una vulnerabilidad de divulgación de información en Bouncy Castle podría permitir que una aplicación maliciosa local obtenga acceso a la información privada del usuario. Este problema se calificó como de gravedad moderada porque se podría usar para obtener permisos "peligrosos" de forma inadecuada.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6644 | ANDROID-24106146 | Moderada | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Interna de Google |
Vulnerability de denegación del servicio en SyncManager
Una vulnerabilidad de denegación del servicio en SyncManager podría permitir que una aplicación maliciosa local cause un bucle de reinicio. Este problema se calificó como de gravedad moderada porque se podría usar para provocar una denegación del servicio temporal local que posiblemente deba corregirse mediante un restablecimiento de la configuración de fábrica.
| CVE | Errores con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6645 | ANDROID-23591205 | Moderada | 4.4.4, 5.0, 5.1.1, 6.0 | Interna de Google |
Reducción de la superficie de ataque para kernels de Nexus
SysV IPC no es compatible con ningún kernel de Android. Quitamos esta función del SO, ya que expone una superficie de ataque adicional que no agrega funcionalidad al sistema y que podría ser aprovechada por aplicaciones maliciosas. Además, los IPC de System V no cumplen con el ciclo de vida de la aplicación de Android, ya que el administrador de memoria no puede liberar los recursos asignados, lo que genera una filtración global de recursos del kernel. Este cambio aborda problemas como CVE-2015-7613.
| CVE | Errores | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-6646 | ANDROID-22300191* | Moderada | 6.0 | Interna de Google |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Preguntas y respuestas frecuentes
En esta sección, se revisan las respuestas a preguntas frecuentes que pueden surgir después de leer este boletín.
1. ¿Cómo puedo determinar si mi dispositivo está actualizado para solucionar estos problemas?
Las compilaciones LMY49F o posteriores y Android 6.0 con el nivel de parche de seguridad del 1 de enero de 2016 o posterior abordan estos problemas. Consulta la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad. Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de la cadena de parches en [ro.build.version.security_patch]:[2016-01-01].
Revisiones
- 4 de enero de 2016: Se publicó el boletín.
- 6 de enero de 2016: Se revisó el boletín para incluir vínculos del AOSP.
- 28 de abril de 2016: Se quitó CVE-2015-6617 de los reconocimientos y se agregó CVE-2015-6647 a la tabla de resumen.