Publicado el 4 de abril de 2016 | Actualizado el 19 de diciembre de 2016
Lanzamos una actualización de seguridad para dispositivos Nexus mediante una actualización por aire (OTA) como parte de nuestro proceso de lanzamiento mensual de boletines de seguridad de Android. Las imágenes del firmware de Nexus también se lanzaron en el sitio de Google Developer. Los niveles de parches de seguridad del 2 de abril de 2016 o posteriores abordan estos problemas (consulta la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad).
Los socios recibieron una notificación sobre los problemas descritos en el boletín el 16 de marzo de 2016 o antes. Cuando corresponda, los parches de código fuente para estos problemas se publicaron en el repositorio del Proyecto de código abierto de Android (AOSP).
El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución de código remoto en un dispositivo afectado a través de varios métodos, como el correo electrónico, la navegación web y los MMS cuando se procesan archivos multimedia. La evaluación de gravedad se basa en el efecto que podría tener la explotación de la vulnerabilidad en un dispositivo afectado, siempre y cuando las mitigaciones de la plataforma y el servicio estén inhabilitadas para fines de desarrollo o si se eluden correctamente.
En el Advisory de seguridad de Android del 18 de marzo de 2016, se analizó el uso de CVE-2015-1805 por parte de una aplicación de acceso raíz. CVE-2015-1805 se resuelve en esta actualización. No se han recibido informes de explotación activa de clientes ni de abuso de los otros problemas informados recientemente. Consulta la sección Mitigaciones para obtener más detalles sobre las protecciónes de la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet, que mejoran la seguridad de la plataforma de Android.
Mitigaciones
Este es un resumen de las mitigaciones que proporciona la plataforma de seguridad de Android y las protecciones de servicios, como SafetyNet. Estas funciones reducen la probabilidad de que se puedan explotar vulnerabilidades de seguridad de forma exitosa en Android.
- Las mejoras en las versiones más recientes de la plataforma de Android dificultan el aprovechamiento de muchos problemas en Android. Recomendamos a todos los usuarios que actualicen a la versión más reciente de Android siempre que sea posible.
- El equipo de seguridad de Android supervisa de forma activa los abusos con Verificar aplicaciones y SafetyNet, que advertirán al usuario sobre las aplicaciones potencialmente dañinas que se están a punto de instalar. Las herramientas de acceso raíz de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones de fuera de Google Play, la función Verificar aplicaciones está habilitada de forma predeterminada y les advertirá a los usuarios sobre las aplicaciones de acceso raíz conocidas. Verifica Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de escalamiento de privilegios. Si ya se instaló una aplicación de este tipo, Verificar aplicaciones notificará al usuario y tratará de quitarla.
- Según corresponda, las aplicaciones de Google Hangouts y Messenger no pasan contenido multimedia automáticamente a procesos como mediaserver.
Agradecimientos
El equipo de Seguridad de Android agradece a los siguientes investigadores por sus contribuciones:
- Abhishek Arya, Oliver Chang y Martin Barbella del equipo de seguridad de Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839 y CVE-2016-0838
- Anestis Bechtsoudis (@anestisb) de CENSUS S.A.: CVE-2016-0842, CVE-2016-0836 y CVE-2016-0835
- Brad Ebinger y Santos Cordon del equipo de telecomunicaciones de Google: CVE-2016-0847
- Dominik Schürmann del Instituto de Sistemas Operativos y Redes Informáticas, TU Braunschweig: CVE-2016-2425
- Gengjia Chen (@chengjia4574), pjf, Jianqiang Zhao (@jianqiangzhao) de IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas de la École polytechnique fédérale de Lausanne: CVE-2016-2426
- Guang Gong (龚广) (@oldfresher) de Qihoo 360 Technology Co.Ltd: CVE-2016-2412, CVE-2016-2416
- James Forshaw de Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao(@jianqiangzhao), pjf y Gengjia Chen (@chengjia4574) de IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao (@jianqiangzhao) y pjf de IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang de Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir: CVE-2016-2409
- Nico Golde (@iamnion) de la Iniciativa de seguridad de productos de Qualcomm: CVE-2016-2420, CVE-2016-0849
- Peter Pi (@heisecode) de Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé de MWR Labs: CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan de Android Security: CVE-2016-2424
- Weichao Sun (@sunblate) de Alibaba Inc.: CVE-2016-2414
- Wish Wu (@wish_wu) de Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee y Xiaofeng Wang de la Universidad de Indiana en Bloomington, Tongxin Li y Xinhui Han de la Universidad de Pekín: CVE-2016-0848
El equipo de Seguridad de Android también agradece a Yuan-Tsung Lo, Wenke Dou, Chiachih Wu (@chiachih_wu) y Xuxian Jiang del equipo de C0RE y Zimperium por su contribución a CVE-2015-1805.
Detalles de la vulnerabilidad de seguridad
En las siguientes secciones, se incluyen detalles de cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche del 2 de abril de 2016. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones afectadas y la fecha en que se informó. Cuando esté disponible, vincularemos la confirmación de AOSP que abordó el problema al ID del error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a números que siguen al ID del error.
Remote Code Execution Vulnerability in DHCPCD
Una vulnerabilidad en el servicio de protocolo de configuración dinámica de host podría permitir que un atacante cause daños en la memoria, lo que podría provocar la ejecución de código remoto. Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del cliente DHCP. El servicio DHCP tiene acceso a privilegios a los que las apps de terceros no podrían acceder de forma normal.
| CVE | Errores con vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Crítico | 4.4.4 | 30 de julio de 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Crítico | 4.4.4 | 30 de julio de 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 de ene de 2016 |
Remote Code Execution Vulnerability in Media Codec
Durante el procesamiento de datos y archivos multimedia de un archivo creado especialmente, las vulnerabilidades en un códec multimedia que usa mediaserver podrían permitir que un atacante cause corrupción de memoria y ejecución de código remoto durante el proceso de mediaserver.
La funcionalidad afectada se proporciona como una parte principal del sistema operativo, y hay varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y reproducción de contenido multimedia en el navegador.
Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del servicio de mediaserver. El servicio de mediaserver tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no suelen tener acceso.
| CVE | Error | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Crítico | 6.0 y 6.0.1 | 16 de dic de 2015 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Remote Code Execution Vulnerability in Mediaserver
Durante el procesamiento de datos y archivos multimedia de un archivo creado especialmente, las vulnerabilidades en mediaserver podrían permitir que un atacante cause daños en la memoria y ejecución de código remoto durante el proceso de mediaserver.
La funcionalidad afectada se proporciona como una parte principal del sistema operativo, y hay varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y reproducción de contenido multimedia en el navegador.
Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del servicio de mediaserver. El servicio de mediaserver tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no suelen tener acceso.
| CVE | Errores con vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [2] | Crítico | 6.0 y 6.0.1 | 6 de diciembre de 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Crítico | 6.0 y 6.0.1 | 19 de nov de 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de febrero de 2016 |
| CVE-2016-0838 | ANDROID-26366256 [2] | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interna de Google |
| CVE-2016-0839 | ANDROID-25753245 | Crítico | 6.0 y 6.0.1 | Interna de Google |
| CVE-2016-0840 | ANDROID-26399350 | Crítico | 6.0 y 6.0.1 | Interna de Google |
| CVE-2016-0841 | ANDROID-26040840 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interna de Google |
Remote Code Execution Vulnerability in libstagefright
Durante el procesamiento de datos y archivos multimedia de un archivo creado especialmente, las vulnerabilidades en libstagefright podrían permitir que un atacante cause daños en la memoria y ejecución de código remota como el proceso de mediaserver.
La funcionalidad afectada se proporciona como una parte principal del sistema operativo, y hay varias aplicaciones que permiten acceder a ella con contenido remoto, en particular, MMS y reproducción de contenido multimedia en el navegador.
Este problema se calificó como de gravedad crítica debido a la posibilidad de ejecución de código remoto en el contexto del servicio de mediaserver. El servicio de mediaserver tiene acceso a transmisiones de audio y video, así como a privilegios a los que las apps de terceros no suelen tener acceso.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Crítico | 6.0 y 6.0.1 | 23 de noviembre de 2015 |
Vulnerabilidad de elevación de privilegios en el kernel
Una vulnerabilidad de elevación de privilegios en el kernel podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se calificó como de gravedad crítica debido a la posibilidad de una vulneración permanente del dispositivo local, y es posible que se deba reparar el dispositivo volviendo a escribir el sistema operativo en la memoria flash. Este problema se describió en el Aviso de seguridad de Android del 18/03/2016.
| CVE | Error | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de febrero de 2016 |
* El parche en AOSP está disponible para versiones específicas del kernel: 3.14, 3.10 y 3.4.
Vulnerabilidad de elevación de privilegios en el módulo de rendimiento de Qualcomm
Una vulnerabilidad de elevación de privilegios en el componente del administrador de eventos de rendimiento para procesadores ARM de Qualcomm podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local, y es posible que deba repararse con la reinstalación del sistema operativo.
| CVE | Error | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de nov de 2015 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el componente de RF de Qualcomm
Hay una vulnerabilidad en el controlador de RF de Qualcomm que podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto del kernel. Este problema se calificó como de gravedad crítica debido a la posibilidad de que se produzca una vulneración permanente del dispositivo local, y es posible que se deba reparar el dispositivo volviendo a escribir el sistema operativo en la memoria flash.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307* | Crítico | 6.0 y 6.0.1 | 25 de dic de 2015 |
* Hay un parche adicional para este problema en la fuente de Linux.
Vulnerabilidad de elevación de privilegios en el kernel
Una vulnerabilidad de elevación de privilegios en el kernel común podría permitir que una aplicación maliciosa local ejecute código arbitrario en el kernel. Este problema se calificó como de gravedad crítica debido a la posibilidad de una vulneración permanente del dispositivo local, y es posible que se deba reparar el dispositivo volviendo a escribir el sistema operativo en la memoria flash.
| CVE | Error con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260
[2]
[3] [4] [5] [6] [7] [8] [9] [10] [11] |
Crítico | 6.0 y 6.0.1 | 25 de dic de 2015 |
Vulnerabilidad de elevación de privilegios en la interfaz nativa de IMemory
Una vulnerabilidad de elevación de privilegios en la interfaz nativa de IMemory podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto de una aplicación del sistema con privilegios elevados. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 de ene de 2016 |
Vulnerabilidad de elevación de privilegios en el componente de telecomunicaciones
Una vulnerabilidad de elevación de privilegios en el componente de telecomunicaciones podría permitir que un atacante haga que las llamadas parezcan provenir de cualquier número arbitrario. Este problema se calificó como de gravedad alta porque se podría usar para obtener acceso local a capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Error con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [2] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interna de Google |
Vulnerabilidad de elevación de privilegios en el Administrador de descargas
Una vulnerabilidad de elevación de privilegios en el Administrador de descargas podría permitir que un atacante obtenga acceso a archivos no autorizados en el almacenamiento privado. Este problema se calificó como de gravedad alta porque se podría usar para obtener acceso local a capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 de diciembre de 2015 |
Vulnerabilidad de elevación de privilegios en el procedimiento de recuperación
Una vulnerabilidad de elevación de privilegios en el procedimiento de recuperación podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto de una aplicación del sistema con privilegios elevados. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de febrero de 2016 |
Vulnerabilidad de elevación de privilegios en Bluetooth
Una vulnerabilidad de elevación de privilegios en Bluetooth podría permitir que un dispositivo no confiable se vincule con el teléfono durante el proceso de vinculación inicial. Esto podría generar acceso no autorizado a los recursos del dispositivo, como la conexión a Internet. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas a las que no pueden acceder los dispositivos no confiables.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 de enero de 2016 |
Vulnerabilidad de elevación de privilegios en el controlador táctil de Texas Instruments
Hay una vulnerabilidad de elevación de privilegios en un controlador de kernel táctil de Texas Instruments que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Por lo general, un error de ejecución de código del kernel como este se clasificaría como crítico, pero como primero requiere comprometer un servicio que puede llamar al controlador, se clasifica como de gravedad alta.
| CVE | Error | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Alto | 6.0 y 6.0.1 | 25 de dic de 2015 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el controlador de kernel de video de Qualcomm
Hay una vulnerabilidad de elevación de privilegios en un controlador de kernel de video de Qualcomm que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Por lo general, una vulnerabilidad de ejecución de código de kernel se clasificaría como crítica, pero como primero requiere vulnerar un servicio que puede llamar al controlador, se clasifica como de gravedad alta.
| CVE | Error | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Alto | 6.0 y 6.0.1 | 21 de diciembre de 2015 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en el componente de administración de energía de Qualcomm
Hay una vulnerabilidad de elevación de privilegios en un controlador de kernel de administración de energía de Qualcomm que podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto del kernel. Por lo general, un error de ejecución de código del kernel como este se calificaría como crítico, pero como primero requiere vulnerar el dispositivo y elevarse a raíz, se califica como de gravedad alta.
| CVE | Error | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Alto | 6.0 y 6.0.1 | 28 de ene de 2016 |
* El parche para este problema no está en AOSP. La actualización se incluye en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en System_server
Una vulnerabilidad de elevación de privilegios en System_server podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto de una aplicación del sistema con privilegios elevados. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 de ene de 2016 |
Vulnerabilidad de elevación de privilegios en Mediaserver
Una vulnerabilidad de elevación de privilegios en mediaserver podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto de una aplicación del sistema elevada. Este problema se calificó como de gravedad alta porque se podría usar para obtener capacidades elevadas, como privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de ene de 2016 |
Vulnerabilidad de denegación del servicio en Minikin
Una vulnerabilidad de denegación del servicio en la biblioteca de Minikin podría permitir que un atacante local bloquee temporalmente el acceso a un dispositivo afectado. Un atacante podría cargar una fuente no confiable y provocar un desbordamiento en el componente Minikin, lo que genera una falla. Tiene una calificación de gravedad alta porque el ataque de denegación del servicio provocaría un bucle de reinicio continuo.
| CVE | Error con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [2] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de noviembre de 2015 |
Vulnerabilidad de divulgación de información en Exchange ActiveSync
Una vulnerabilidad de divulgación de información en Exchange ActiveSync podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema tiene una calificación de gravedad alta porque permite el acceso remoto a datos protegidos.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de ene de 2016 |
Vulnerabilidad de divulgación de información en Mediaserver
Una vulnerabilidad de divulgación de información en Mediaserver podría permitir eludir las medidas de seguridad existentes para aumentar la dificultad de los atacantes que explotan la plataforma. Estos problemas se clasifican como de gravedad alta porque también se podrían usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no pueden acceder las aplicaciones de terceros.
| CVE | Errores con vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [2] | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de feb de 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 de febrero de 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Alto | 6.0 y 6.0.1 | 24 de dic de 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Alto | 6.0 y 6.0.1 | 24 de dic de 2015 |
Vulnerabilidad de elevación de privilegios en el componente depurado
Una vulnerabilidad de elevación de privilegios en el componente Debuggerd podría permitir que una aplicación maliciosa local ejecute código arbitrario que podría provocar una vulneración permanente del dispositivo. Como resultado, es posible que debas reparar el dispositivo volviendo a escribir el sistema operativo en la memoria flash. Normalmente, un error de ejecución de código como este se clasificaría como Crítico, pero como permite una elevación de privilegios del sistema a raíz solo en la versión 4.4.4 de Android, se clasifica como Moderado. En Android 5.0 y versiones posteriores, las reglas de SELinux impiden que las aplicaciones de terceros accedan al código afectado.
| CVE | Error con los vínculos del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [2] | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de ene de 2016 |
Vulnerabilidad de elevación de privilegios en el asistente de configuración
Una vulnerabilidad en el Asistente de configuración podría permitir que un atacante omita la protección contra el restablecimiento de la configuración de fábrica y obtenga acceso al dispositivo. Se calificó como gravedad moderada porque, en teoría, permite que alguien con acceso físico a un dispositivo omita la protección contra el restablecimiento de la configuración de fábrica, lo que permitiría que un atacante restablezca correctamente un dispositivo y borre todos los datos.
| CVE | Error | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Moderada | 5.1.1, 6.0, 6.0.1 | Interna de Google |
* El parche para este problema no está en AOSP. La actualización se incluye en la versión binaria más reciente para dispositivos Nexus disponible en el sitio de Google Developer.
Vulnerabilidad de elevación de privilegios en Wi-Fi
Una vulnerabilidad de elevación de privilegios en Wi-Fi podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación del sistema elevada. Este problema se calificó como de gravedad moderada porque se podría usar para obtener capacidades elevadas, como los privilegios de permisos de Signature o SignatureOrSystem, a los que no puede acceder una aplicación de terceros.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 de diciembre de 2015 |
Vulnerabilidad de elevación de privilegios en telefonía
Una vulnerabilidad en Telephony podría permitir que un atacante omita la protección contra el restablecimiento de la configuración de fábrica y obtenga acceso al dispositivo. Se calificó como moderada porque, en teoría, permite que alguien con acceso físico a un dispositivo omita la protección contra el restablecimiento de la configuración de fábrica, lo que permitiría que un atacante restablezca correctamente un dispositivo y borre todos los datos.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interna de Google |
Vulnerabilidad de denegación del servicio en SyncStorageEngine
Una vulnerabilidad de denegación del servicio en SyncStorageEngine podría permitir que una aplicación maliciosa local cause un bucle de reinicio. Este problema se calificó como de gravedad moderada porque se podría usar para provocar una denegación del servicio temporal local que posiblemente deba corregirse mediante un restablecimiento de la configuración de fábrica.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interna de Google |
Vulnerabilidad de divulgación de información en AOSP Mail
Una vulnerabilidad de divulgación de información en AOSP Mail podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema se calificó como de gravedad moderada porque se podría usar para obtener permisos "peligrosos" de forma inadecuada.
| CVE | Errores con vínculo de AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Moderada | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 de ene de 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Moderada | 5.0.2 | 29 de ene de 2016 |
* El parche para este problema no está en AOSP. La actualización se incluye en la versión binaria más reciente para dispositivos Nexus disponible en el sitio de Google Developer.
Vulnerabilidad de divulgación de información en el framework
Una vulnerabilidad de divulgación de información en el componente de Framework podría permitir que una aplicación acceda a información sensible. Este problema se calificó como de gravedad moderada porque se podría usar para acceder de forma inadecuada a los datos sin permiso.
| CVE | Error con el vínculo del AOSP | Gravedad | Versiones actualizadas | Fecha de denuncia |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Moderada | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 de diciembre de 2015 |
Preguntas y respuestas frecuentes
En esta sección, se revisan las respuestas a preguntas frecuentes que pueden surgir después de leer este boletín.
1. ¿Cómo puedo determinar si mi dispositivo está actualizado para solucionar estos problemas?
Los niveles de parches de seguridad del 2 de abril de 2016 o posteriores abordan estos problemas (consulta la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad). Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de la cadena de parches en [ro.build.version.security_patch]:[2016-04-02].
2. ¿Por qué el nivel de parche de seguridad es del 2 de abril de 2016?
El nivel de parche de seguridad de la actualización de seguridad mensual suele establecerse el primer día del mes. En el caso de abril, un nivel de parche de seguridad del 1 de abril de 2016 indica que se abordaron todos los problemas descritos en este boletín, excepto CVE-2015-1805, como se describe en el Aviso de seguridad de Android del 18 de marzo de 2016. Un nivel de parche de seguridad del 2 de abril de 2016 indica que se abordaron todos los problemas descritos en este boletín, incluido CVE-2015-1805, como se describe en el Aviso de seguridad de Android del 18 de marzo de 2016.
Revisiones
- 4 de abril de 2016: Se publicó el boletín.
- 6 de abril de 2016: Se revisó el boletín para incluir vínculos de AOSP.
- 7 de abril de 2016: Se revisó el boletín para incluir un vínculo adicional de AOSP.
- 11 de julio de 2016: Se actualizó la descripción del CVE-2016-2427.
- 1 de agosto de 2016: Se actualizó la descripción de CVE-2016-2427
- 19 de diciembre de 2016: Se actualizó para quitar CVE-2016-2427, que se revirtió.