Publicado el 1 de febrero de 2016 | Actualizado el 7 de marzo de 2016
Lanzamos una actualización de seguridad para dispositivos Nexus mediante una actualización por aire (OTA) como parte de nuestro proceso de lanzamiento mensual de boletines de seguridad de Android. Las imágenes del firmware de Nexus también se lanzaron en el sitio de Google Developer. Las compilaciones LMY49G o posteriores y Android M con el nivel de parche de seguridad del 1 de febrero de 2016 o posterior abordan estos problemas. Consulta la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad.
Los socios recibieron una notificación sobre los problemas descritos en el boletín el 4 de enero de 2016 o antes. Cuando corresponda, los parches de código fuente para estos problemas se publicaron en el repositorio del Proyecto de código abierto de Android (AOSP).
El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución de código remoto en un dispositivo afectado a través de varios métodos, como el correo electrónico, la navegación web y los MMS cuando se procesan archivos multimedia. La vulnerabilidad de ejecución de código remoto en el controlador de Wi-Fi de Broadcom también tiene una gravedad crítica, ya que podría permitir la ejecución de código remoto en un dispositivo afectado mientras está conectado a la misma red que el atacante. La evaluación de gravedad se basa en el efecto que podría tener la explotación de la vulnerabilidad en un dispositivo afectado, siempre y cuando las mitigaciones de la plataforma y el servicio estén inhabilitadas para fines de desarrollo o si se eluden correctamente.
No recibimos informes de clientes que estén aprovechando estos problemas informados recientemente. Consulta la sección Mitigaciones para obtener detalles sobre las protecciónes de la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet, que mejoran la seguridad de la plataforma de Android. Recomendamos a todos los clientes que acepten estas actualizaciones en sus dispositivos.
Mitigaciones
Este es un resumen de las mitigaciones que proporciona la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet. Estas funciones reducen la probabilidad de que se puedan explotar vulnerabilidades de seguridad de forma exitosa en Android.
- Las mejoras en las versiones más recientes de la plataforma de Android dificultan el aprovechamiento de muchos problemas en Android. Recomendamos a todos los usuarios que actualicen a la versión más reciente de Android siempre que sea posible.
- El equipo de Seguridad de Android supervisa de forma activa los abusos con Verify Apps y SafetyNet, que advertirán sobre las aplicaciones potencialmente dañinas que se instalarán. Las herramientas de acceso raíz de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones fuera de Google Play, Verificar aplicaciones está habilitado de forma predeterminada y les advertirá a los usuarios sobre las aplicaciones de acceso raíz conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de elevación de privilegios. Si ya se instaló una aplicación de este tipo, Verificar aplicaciones le notificará al usuario y intentará quitarla.
- Según corresponda, las aplicaciones de Google Hangouts y Messenger no pasan contenido multimedia automáticamente a procesos como mediaserver.
Agradecimientos
Queremos agradecer a los siguientes investigadores por sus contribuciones:
- Equipo de seguridad de Android y Chrome: CVE-2016-0809 y CVE-2016-0810
- Equipo de Broadgate: CVE-2016-0801, CVE-2015-0802
- Chiachih Wu (@chiachih_wu), Mingjian Zhou (@Mingjian_Zhou) y Xuxian Jiang del equipo de C0RE, Qihoo 360: CVE-2016-0804
- David Riley, del equipo de Google Pixel C: CVE-2016-0812
- Gengjia Chen (@chengjia4574) de Lab IceSword, Qihoo 360: CVE-2016-0805
- Qidan He (@Flanker_hqd) de KeenLab (@keen_lab), Tencent: CVE-2016-0811
- Seven Shen (@lingtongshen) de Trend Micro (www.trendmicro.com): CVE-2016-0803
- Weichao Sun (@sunblate) de Alibaba Inc.: CVE-2016-0808
- Zach Riggle (@ebeip90) del equipo de seguridad de Android: CVE-2016-0807
Detalles de la vulnerabilidad de seguridad
En las siguientes secciones, proporcionamos detalles sobre cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche del 01/02/2016. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones afectadas y la fecha en que se informó. Cuando esté disponible, vincularemos la confirmación de AOSP que abordó el problema al ID del error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a números que siguen al ID del error.
Remote Code Execution Vulnerability in Broadcom Wi-Fi Driver
Varias vulnerabilidades de ejecución remota en el controlador de Wi-Fi de Broadcom podrían permitir que un atacante remoto use paquetes de mensajes de control inalámbrico diseñados especialmente para dañar la memoria del kernel de una manera que lleve a la ejecución remota de código en el contexto del kernel. Estas vulnerabilidades pueden activarse cuando el atacante y la víctima están asociados a la misma red. Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del kernel sin necesidad de interacción del usuario.
| CVE | Errores | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0801 | ANDROID-25662029 ANDROID-25662233 |
Crítico | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 25 de octubre de 2015 |
| CVE-2016-0802 | ANDROID-25306181 | Crítico | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 26 de octubre de 2015 |
Remote Code Execution Vulnerability in Mediaserver
Durante el procesamiento de datos y archivos multimedia de un archivo creado especialmente, las vulnerabilidades en mediaserver podrían permitir que un atacante cause daños en la memoria y ejecución de código remoto durante el proceso de mediaserver.
La funcionalidad afectada se proporciona como una parte principal del sistema operativo y existen varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y reproducción de contenido multimedia en el navegador.
Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del servicio de mediaserver. El servicio de mediaserver tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no pueden acceder de forma normal.
| CVE | Errores con vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0803 | ANDROID-25812794 | Crítico | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 19 de nov de 2015 |
| CVE-2016-0804 | ANDROID-25070434 | Crítico | 5.0, 5.1.1, 6.0, 6.0.1 | 12 de octubre de 2015 |
Vulnerabilidad de elevación de privilegios en el módulo de rendimiento de Qualcomm
Una vulnerabilidad de elevación de privilegios en el componente del administrador de eventos de rendimiento para procesadores ARM de Qualcomm podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local, y es posible que se deba reparar el dispositivo volviendo a escribir el sistema operativo en la memoria flash.
| CVE | Error | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0805 | ANDROID-25773204* | Crítico | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 de noviembre de 2015 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el controlador de Wi-Fi de Qualcomm
Hay una vulnerabilidad en el controlador de Wi-Fi de Qualcomm que podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local y, posiblemente, deba repararse con la reinstalación del sistema operativo.
| CVE | Error | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0806 | ANDROID-25344453* | Crítico | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | 15 de noviembre de 2015 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el depurador
Una vulnerabilidad de elevación de privilegios en el componente de depuración podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto raíz del dispositivo. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local y, posiblemente, deba repararse con la reinstalación del sistema operativo.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0807 | ANDROID-25187394 | Crítico | 6.0 y 6.0.1 | Interna de Google |
Vulnerabilidad de denegación del servicio en Minikin
Una vulnerabilidad de denegación del servicio en la biblioteca de Minikin podría permitir que un atacante local bloquee temporalmente el acceso a un dispositivo afectado. Un atacante podría cargar una fuente no confiable y provocar un desbordamiento en el componente Minikin, lo que generaría una falla. Tiene una calificación de gravedad alta porque el ataque de denegación del servicio genera un bucle de reinicio continuo.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0808 | ANDROID-25645298 | Alto | 5.0, 5.1.1, 6.0, 6.0.1 | 3 de noviembre de 2015 |
Vulnerabilidad de elevación de privilegios en Wi-Fi
Una vulnerabilidad de elevación de privilegios en el componente Wi-Fi podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del sistema. Un dispositivo solo es vulnerable a este problema cuando está cerca de forma local. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades “normales” de forma remota. Por lo general, solo las aplicaciones de terceros instaladas de forma local pueden acceder a estos permisos.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0809 | ANDROID-25753768 | Alto | 6.0 y 6.0.1 | Interna de Google |
Vulnerabilidad de elevación de privilegios en Mediaserver
Una vulnerabilidad de elevación de privilegios en mediaserver podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto de una aplicación del sistema elevada. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0810 | ANDROID-25781119 | Alto | 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 | Interna de Google |
Vulnerabilidad de divulgación de información en libmediaplayerservice
Una vulnerabilidad de divulgación de información en libmediaplayerservice podría permitir eludir las medidas de seguridad existentes para aumentar la dificultad de los atacantes que explotan la plataforma. Estos problemas se clasifican como de gravedad alta porque también se pueden usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0811 | ANDROID-25800375 | Alto | 6.0 y 6.0.1 | 16 de noviembre de 2015 |
Vulnerabilidad de elevación de privilegios en el asistente de configuración
Una vulnerabilidad en el Asistente de configuración podría permitir que un atacante malicioso omita la protección contra el restablecimiento de la configuración de fábrica y obtenga acceso al dispositivo. Se calificó como moderada porque, en teoría, permite que alguien con acceso físico a un dispositivo omita la protección contra el restablecimiento de la configuración de fábrica, lo que permite que un atacante restablezca correctamente un dispositivo y borre todos los datos.
| CVE | Errores con vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0812 | ANDROID-25229538 | Moderada | 5.1.1, 6.0 | Interna de Google |
| CVE-2016-0813 | ANDROID-25476219 | Moderada | 5.1.1, 6.0, 6.0.1 | Interna de Google |
Preguntas y respuestas frecuentes
En esta sección, se revisan las respuestas a preguntas frecuentes que pueden surgir después de leer este boletín.
1. ¿Cómo puedo determinar si mi dispositivo está actualizado para solucionar estos problemas?
Las compilaciones LMY49G o posteriores y Android 6.0 con el nivel de parche de seguridad del 1 de febrero de 2016 o posterior solucionan estos problemas. Consulta la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad. Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de la cadena de parches en [ro.build.version.security_patch]:[2016-02-01].
Revisiones
- 1 de febrero de 2016: Se publicó el boletín.
- 2 de febrero de 2016: Se revisó el boletín para incluir vínculos de AOSP.
- 7 de marzo de 2016: Se revisó el boletín para incluir vínculos adicionales a AOSP.