Publicado el 04 de abril de 2016 | Actualizado el 19 de diciembre de 2016
Hemos lanzado una actualización de seguridad para dispositivos Nexus a través de una actualización inalámbrica (OTA) como parte de nuestro proceso de publicación mensual del Boletín de seguridad de Android. Las imágenes del firmware de Nexus también se han publicado en el sitio de desarrolladores de Google . Los niveles de parche de seguridad del 2 de abril de 2016 o posteriores solucionan estos problemas (consulte la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel del parche de seguridad).
Los socios fueron notificados sobre los problemas descritos en el boletín el 16 de marzo de 2016 o antes. Cuando corresponde, se han publicado parches de código fuente para estos problemas en el repositorio del Proyecto de código abierto de Android (AOSP).
El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución remota de código en un dispositivo afectado a través de múltiples métodos, como correo electrónico, navegación web y MMS al procesar archivos multimedia. La evaluación de la gravedad se basa en el efecto que la explotación de la vulnerabilidad podría tener en un dispositivo afectado, suponiendo que las mitigaciones de la plataforma y el servicio estén deshabilitadas para fines de desarrollo o si se omiten con éxito.
El Aviso de seguridad de Android 2016-03-18 analizó anteriormente el uso de CVE-2015-1805 por parte de una aplicación de rooteo. CVE-2015-1805 se resuelve en esta actualización. No ha habido informes de explotación activa por parte del cliente o abuso de los otros problemas reportados recientemente. Consulte la sección Mitigaciones para obtener más detalles sobre las protecciones de la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet, que mejoran la seguridad de la plataforma Android.
Mitigaciones
Este es un resumen de las mitigaciones proporcionadas por la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet. Estas capacidades reducen la probabilidad de que las vulnerabilidades de seguridad puedan explotarse con éxito en Android.
- La explotación de muchos problemas en Android se vuelve más difícil debido a las mejoras en las versiones más recientes de la plataforma Android. Animamos a todos los usuarios a actualizar a la última versión de Android siempre que sea posible.
- El equipo de seguridad de Android está monitoreando activamente el abuso con Verify Apps y SafetyNet, que advertirán al usuario sobre aplicaciones detectadas potencialmente dañinas que están a punto de instalarse. Las herramientas de rooteo de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones desde fuera de Google Play, Verify Apps está habilitado de forma predeterminada y advertirá a los usuarios sobre aplicaciones de rooteo conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de escalada de privilegios. Si dicha aplicación ya se ha instalado, Verify Apps notificará al usuario e intentará eliminar dicha aplicación.
- Según corresponda, las aplicaciones Google Hangouts y Messenger no pasan automáticamente medios a procesos como el servidor de medios.
Agradecimientos
El equipo de seguridad de Android desea agradecer a estos investigadores por sus contribuciones:
- Abhishek Arya, Oliver Chang y Martin Barbella del equipo de seguridad de Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
- Anestis Bechtsoudis ( @anestisb ) de CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
- Brad Ebinger y Santos Cordon del equipo de Google Telecom: CVE-2016-0847
- Dominik Schürmann del Instituto de Sistemas Operativos y Redes Informáticas , TU Braunschweig: CVE-2016-2425
- Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) de IceSword Lab, Qihoo 360: CVE-2016-0844
- George Piskas de la Escuela Politécnica Federal de Lausana : CVE-2016-2426
- Guang Gong (龚广) ( @oldfresher ) de Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
- James Forshaw de Google Project Zero: CVE-2016-2417, CVE-2016-0846
- Jianqiang Zhao( @jianqiangzhao ), pjf y Gengjia Chen ( @chengjia4574 ) de IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
- Jianqiang Zhao ( @jianqiangzhao ) y pjf de IceSword Lab, Qihoo 360: CVE-2016-2409
- Nancy Wang de Vertu Corporation LTD: CVE-2016-0837
- Nasim Zamir : CVE-2016-2409
- Nico Golde ( @iamnion ) de la Iniciativa de seguridad de productos de Qualcomm: CVE-2016-2420, CVE-2016-0849
- Peter Pi ( @heisecode ) de Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
- Richard Shupak: CVE-2016-2415
- Romain Trouvé de MWR Labs : CVE-2016-0850
- Stuart Henderson: CVE-2016-2422
- Vishwath Mohan de Seguridad de Android: CVE-2016-2424
- Weichao Sun ( @sunblate ) de Alibaba Inc.: CVE-2016-2414
- Wish Wu ( @wish_wu ) de Trend Micro Inc.: CVE-2016-0843
- Yeonjoon Lee y Xiaofeng Wang de la Universidad de Indiana en Bloomington, Tongxin Li y Xinhui Han de la Universidad de Pekín: CVE-2016-0848
El equipo de seguridad de Android también agradece a Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) y Xuxian Jiang del equipo C0RE y Zimperium por su contribución a CVE-2015-1805.
Detalles de vulnerabilidad de seguridad
Las secciones siguientes contienen detalles para cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche 2016-04-02. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones afectadas y la fecha del informe. Cuando esté disponible, vincularemos la confirmación de AOSP que solucionó el problema con el ID del error. Cuando varios cambios se relacionan con un solo error, las referencias AOSP adicionales están vinculadas a números que siguen al ID del error.
Vulnerabilidad de ejecución remota de código en DHCPCD
Una vulnerabilidad en el servicio del Protocolo de configuración dinámica de host podría permitir que un atacante cause daños en la memoria, lo que podría conducir a la ejecución remota de código. Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del cliente DHCP. El servicio DHCP tiene acceso a privilegios a los que normalmente las aplicaciones de terceros no podrían acceder.
| CVE | Errores con enlaces AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2014-6060 | ANDROID-15268738 | Crítico | 4.4.4 | 30 de julio de 2014 |
| CVE-2014-6060 | ANDROID-16677003 | Crítico | 4.4.4 | 30 de julio de 2014 |
| CVE-2016-1503 | ANDROID-26461634 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 4 de enero de 2016 |
Vulnerabilidad de ejecución remota de código en Media Codec
Durante el procesamiento de datos y archivos multimedia de un archivo especialmente diseñado, las vulnerabilidades en un códec multimedia utilizado por el servidor multimedia podrían permitir que un atacante cause daños en la memoria y ejecución remota de código como proceso del servidor multimedia.
La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, en particular MMS y reproducción de medios en el navegador.
Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que las aplicaciones de terceros normalmente no podrían acceder.
| CVE | Bicho | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0834 | ANDROID-26220548* | Crítico | 6.0, 6.0.1 | 16 de diciembre de 2015 |
* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .
Vulnerabilidad de ejecución remota de código en Mediaserver
Durante el procesamiento de datos y archivos multimedia de un archivo especialmente diseñado, las vulnerabilidades en el servidor multimedia podrían permitir que un atacante cause daños en la memoria y ejecución remota de código durante el proceso del servidor multimedia.
La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, en particular MMS y reproducción de medios en el navegador.
Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que las aplicaciones de terceros normalmente no podrían acceder.
| CVE | Errores con enlaces AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0835 | ANDROID-26070014 [ 2 ] | Crítico | 6.0, 6.0.1 | 6 de diciembre de 2015 |
| CVE-2016-0836 | ANDROID-25812590 | Crítico | 6.0, 6.0.1 | 19 de noviembre de 2015 |
| CVE-2016-0837 | ANDROID-27208621 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de febrero de 2016 |
| CVE-2016-0838 | ANDROID-26366256 [ 2 ] | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno de Google |
| CVE-2016-0839 | ANDROID-25753245 | Crítico | 6.0, 6.0.1 | Interno de Google |
| CVE-2016-0840 | ANDROID-26399350 | Crítico | 6.0, 6.0.1 | Interno de Google |
| CVE-2016-0841 | ANDROID-26040840 | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno de Google |
Vulnerabilidad de ejecución remota de código en libstagefright
Durante el procesamiento de datos y archivos multimedia de un archivo especialmente diseñado, las vulnerabilidades en libstagefright podrían permitir que un atacante cause daños en la memoria y ejecución remota de código como proceso del servidor multimedia.
La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, en particular MMS y reproducción de medios en el navegador.
Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que las aplicaciones de terceros normalmente no podrían acceder.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0842 | ANDROID-25818142 | Crítico | 6.0, 6.0.1 | 23 de noviembre de 2015 |
Vulnerabilidad de elevación de privilegios en el kernel
Una vulnerabilidad de elevación de privilegios en el kernel podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se comprometa permanentemente el dispositivo local, y es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo. Este problema se describió en el Aviso de seguridad de Android 2016-03-18 .
| CVE | Bicho | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2015-1805 | ANDROID-27275324* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de febrero de 2016 |
* El parche en AOSP está disponible para versiones específicas del kernel: 3.14 , 3.10 y 3.4 .
Vulnerabilidad de elevación de privilegios en el módulo de rendimiento de Qualcomm
Una vulnerabilidad de elevación de privilegios en el componente de gestión de eventos de rendimiento para procesadores ARM de Qualcomm podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se comprometa permanentemente el dispositivo local, y es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo.
| CVE | Bicho | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0843 | ANDROID-25801197* | Crítico | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 19 de noviembre de 2015 |
* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .
Vulnerabilidad de elevación de privilegios en el componente RF de Qualcomm
Existe una vulnerabilidad en el controlador RF de Qualcomm que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se comprometa permanentemente el dispositivo local, y es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0844 | ANDROID-26324307 * | Crítico | 6.0, 6.0.1 | 25 de diciembre de 2015 |
* Hay un parche adicional para este problema ubicado en la versión anterior de Linux .
Vulnerabilidad de elevación de privilegios en el kernel
Una vulnerabilidad de elevación de privilegios en el kernel común podría permitir que una aplicación maliciosa local ejecute código arbitrario en el kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se comprometa permanentemente el dispositivo local y es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo.
| CVE | Error con enlaces AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2014-9322 | ANDROID-26927260 [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] | Crítico | 6.0, 6.0.1 | 25 de diciembre de 2015 |
Vulnerabilidad de elevación de privilegios en la interfaz nativa de IMemory
Una vulnerabilidad de elevación de privilegios en la interfaz nativa de IMemory podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación del sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de firma o firma o sistema , a los que no puede acceder una aplicación de terceros.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0846 | ANDROID-26877992 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 29 de enero de 2016 |
Vulnerabilidad de elevación de privilegios en el componente de telecomunicaciones
Una vulnerabilidad de elevación de privilegios en el componente de telecomunicaciones podría permitir a un atacante hacer que las llamadas parezcan provenir de cualquier número arbitrario. Este problema se clasifica como de gravedad alta porque podría usarse para obtener acceso local a capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.
| CVE | Error con enlaces AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0847 | ANDROID-26864502 [ 2 ] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno de Google |
Vulnerabilidad de elevación de privilegios en el Administrador de descargas
Una vulnerabilidad de elevación de privilegios en el Administrador de descargas podría permitir a un atacante obtener acceso a archivos no autorizados en un almacenamiento privado. Este problema se clasifica como de gravedad alta porque podría usarse para obtener acceso local a capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0848 | ANDROID-26211054 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 14 de diciembre de 2015 |
Vulnerabilidad de elevación de privilegios en el procedimiento de recuperación
Una vulnerabilidad de elevación de privilegios en el procedimiento de recuperación podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación del sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de firma o firma o sistema , a los que no puede acceder una aplicación de terceros.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0849 | ANDROID-26960931 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de febrero de 2016 |
Vulnerabilidad de elevación de privilegios en Bluetooth
Una vulnerabilidad de elevación de privilegios en Bluetooth podría permitir que un dispositivo que no es de confianza se empareje con el teléfono durante el proceso de emparejamiento inicial. Esto podría provocar un acceso no autorizado a los recursos del dispositivo, como por ejemplo la conexión a Internet. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas a las que no pueden acceder dispositivos que no son de confianza.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-0850 | ANDROID-26551752 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 13 de enero de 2016 |
Vulnerabilidad de elevación de privilegios en el controlador háptico de Texas Instruments
Existe una vulnerabilidad de elevación de privilegios en un controlador háptico del kernel de Texas Instruments que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Normalmente, un error de ejecución del código del kernel como este se calificaría como Crítico, pero debido a que primero requiere comprometer un servicio que puede llamar al controlador, se califica como de gravedad Alta.
| CVE | Bicho | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2409 | ANDROID-25981545* | Alto | 6.0, 6.0.1 | 25 de diciembre de 2015 |
* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .
Vulnerabilidad de elevación de privilegios en el controlador Qualcomm Video Kernel
Existe una vulnerabilidad de elevación de privilegios en un controlador de kernel de video de Qualcomm que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Normalmente, una vulnerabilidad de ejecución de código del kernel se calificaría como crítica, pero debido a que primero requiere comprometer un servicio que puede llamar al controlador, se califica como de gravedad alta.
| CVE | Bicho | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2410 | ANDROID-26291677* | Alto | 6.0, 6.0.1 | 21 de diciembre de 2015 |
* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .
Vulnerabilidad de elevación de privilegios en el componente Qualcomm Power Management
Existe una vulnerabilidad de elevación de privilegios en un controlador del kernel de Qualcomm Power Management que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Normalmente, un error de ejecución del código del kernel como este se calificaría como Crítico, pero debido a que primero requiere comprometer el dispositivo y elevarlo a la raíz, se califica como de gravedad Alta.
| CVE | Bicho | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2411 | ANDROID-26866053* | Alto | 6.0, 6.0.1 | 28 de enero de 2016 |
* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .
Vulnerabilidad de elevación de privilegios en System_server
Una vulnerabilidad de elevación de privilegios en System_server podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de firma o firma o sistema , a los que no puede acceder una aplicación de terceros.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2412 | ANDROID-26593930 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 15 de enero de 2016 |
Vulnerabilidad de elevación de privilegios en Mediaserver
Una vulnerabilidad de elevación de privilegios en el servidor de medios podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación del sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de firma o firma o sistema , a los que no puede acceder una aplicación de terceros.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2413 | ANDROID-26403627 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de enero de 2016 |
Vulnerabilidad de denegación de servicio en Minikin
Una vulnerabilidad de denegación de servicio en la biblioteca Minikin podría permitir a un atacante local bloquear temporalmente el acceso a un dispositivo afectado. Un atacante podría provocar que se cargara una fuente que no es de confianza y provocar un desbordamiento en el componente Minikin, lo que provocaría un bloqueo. Esto se considera de gravedad alta porque la denegación de servicio provocaría un ciclo de reinicio continuo.
| CVE | Error con enlaces AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2414 | ANDROID-26413177 [ 2 ] | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 3 de noviembre de 2015 |
Vulnerabilidad de divulgación de información en Exchange ActiveSync
Una vulnerabilidad de divulgación de información en Exchange ActiveSync podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema se clasifica como de gravedad alta porque permite el acceso remoto a datos protegidos.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2415 | ANDROID-26488455 | Alto | 5.0.2, 5.1.1, 6.0, 6.0.1 | 11 de enero de 2016 |
Vulnerabilidad de divulgación de información en Mediaserver
Una vulnerabilidad de divulgación de información en Mediaserver podría permitir eludir las medidas de seguridad implementadas para aumentar la dificultad de los atacantes para explotar la plataforma. Estos problemas se clasifican como de gravedad alta porque también podrían usarse para obtener capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no pueden acceder aplicaciones de terceros.
| CVE | Errores con enlaces AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2416 | ANDROID-27046057 [ 2 ] | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de febrero de 2016 |
| CVE-2016-2417 | ANDROID-26914474 | Alto | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 1 de febrero de 2016 |
| CVE-2016-2418 | ANDROID-26324358 | Alto | 6.0, 6.0.1 | 24 de diciembre de 2015 |
| CVE-2016-2419 | ANDROID-26323455 | Alto | 6.0, 6.0.1 | 24 de diciembre de 2015 |
Vulnerabilidad de elevación de privilegios en el componente depurado
Una vulnerabilidad de elevación de privilegios en el componente Debuggerd podría permitir que una aplicación maliciosa local ejecute código arbitrario que podría comprometer permanentemente el dispositivo. Como resultado, es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo. Normalmente, un error de ejecución de código como este se calificaría como Crítico, pero debido a que permite una elevación de privilegios del sistema a la raíz solo en la versión 4.4.4 de Android, se califica como Moderado. En las versiones de Android 5.0 y superiores, las reglas de SELinux impiden que aplicaciones de terceros lleguen al código afectado.
| CVE | Error con enlaces AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2420 | ANDROID-26403620 [ 2 ] | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 5 de enero de 2016 |
Vulnerabilidad de elevación de privilegios en el asistente de configuración
Una vulnerabilidad en el asistente de configuración podría permitir a un atacante eludir la protección de restablecimiento de fábrica y obtener acceso al dispositivo. Esto se clasifica como de gravedad moderada porque potencialmente permite que alguien con acceso físico a un dispositivo omita la protección de restablecimiento de fábrica, lo que permitiría a un atacante restablecer con éxito un dispositivo y borrar todos los datos.
| CVE | Bicho | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2421 | ANDROID-26154410* | Moderado | 5.1.1, 6.0, 6.0.1 | Interno de Google |
* El parche para este problema no está en AOSP. La actualización está contenida en la última versión binaria para dispositivos Nexus disponible en el sitio para desarrolladores de Google .
Vulnerabilidad de elevación de privilegios en Wi-Fi
Una vulnerabilidad de elevación de privilegios en Wi-Fi podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación del sistema elevada. Este problema se clasifica como de gravedad moderada porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de Firma o Firma o Sistema , a los que no puede acceder una aplicación de terceros.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2422 | ANDROID-26324357 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 23 de diciembre de 2015 |
Vulnerabilidad de elevación de privilegios en telefonía
Una vulnerabilidad en Telefonía podría permitir a un atacante eludir la Protección de restablecimiento de fábrica y obtener acceso al dispositivo. Esto se clasifica como de gravedad moderada porque potencialmente permite que alguien con acceso físico a un dispositivo omita la protección de restablecimiento de fábrica, lo que permitiría a un atacante restablecer con éxito un dispositivo y borrar todos los datos.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2423 | ANDROID-26303187 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno de Google |
Vulnerabilidad de denegación de servicio en SyncStorageEngine
Una vulnerabilidad de denegación de servicio en SyncStorageEngine podría permitir que una aplicación maliciosa local provoque un bucle de reinicio. Este problema se clasifica como de gravedad moderada porque podría usarse para causar una denegación de servicio temporal local que posiblemente deba solucionarse mediante un restablecimiento de fábrica.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2424 | ANDROID-26513719 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | Interno de Google |
Vulnerabilidad de divulgación de información en el correo AOSP
Una vulnerabilidad de divulgación de información en AOSP Mail podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema se clasifica como de gravedad moderada porque podría utilizarse para obtener permisos "peligrosos" de forma inadecuada.
| CVE | Errores con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2425 | ANDROID-26989185 | Moderado | 4.4.4, 5.1.1, 6.0, 6.0.1 | 29 de enero de 2016 |
| CVE-2016-2425 | ANDROID-7154234* | Moderado | 5.0.2 | 29 de enero de 2016 |
* El parche para este problema no está en AOSP. La actualización está contenida en la última versión binaria para dispositivos Nexus disponible en el sitio para desarrolladores de Google .
Vulnerabilidad de divulgación de información en el marco
Una vulnerabilidad de divulgación de información en el componente Framework podría permitir que una aplicación acceda a información confidencial. Este problema se clasifica como de gravedad moderada porque podría usarse para acceder incorrectamente a datos sin permiso.
| CVE | Error con el enlace AOSP | Gravedad | Versiones actualizadas | Fecha reportada |
|---|---|---|---|---|
| CVE-2016-2426 | ANDROID-26094635 | Moderado | 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 | 8 de diciembre de 2015 |
Preguntas y respuestas comunes
Esta sección revisa las respuestas a preguntas comunes que pueden surgir después de leer este boletín.
1. ¿Cómo puedo determinar si mi dispositivo está actualizado para solucionar estos problemas?
Los niveles de parche de seguridad del 2 de abril de 2016 o posteriores solucionan estos problemas (consulte la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel del parche de seguridad). Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de cadena de parche en: [ro.build.version.security_patch]:[2016-04-02]
2. ¿Por qué este parche de seguridad tiene el nivel del 2 de abril de 2016?
El nivel de parche de seguridad para la actualización de seguridad mensual normalmente se establece en el primero del mes. Para abril, un nivel de parche de seguridad del 1 de abril de 2016 indica que se han solucionado todos los problemas descritos en este boletín con la excepción de CVE-2015-1805, como se describe en el Aviso de seguridad de Android 2016-03-18 . Un nivel de parche de seguridad del 2 de abril de 2016 indica que se han solucionado todos los problemas descritos en este boletín, incluido CVE-2015-1805, como se describe en el Aviso de seguridad de Android 2016-03-18 .
Revisiones
- 04 de abril de 2016: Boletín publicado.
- 6 de abril de 2016: Boletín revisado para incluir enlaces AOSP.
- 7 de abril de 2016: Boletín revisado para incluir un enlace AOSP adicional.
- 11 de julio de 2016: descripción actualizada de CVE-2016-2427.
- 1 de agosto de 2016: descripción actualizada de CVE-2016-2427
- 19 de diciembre de 2016: actualizado para eliminar CVE-2016-2427, que se revirtió.