Google se compromete a promover la equidad racial para las comunidades negras. Ver cómo.
Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Boletín de seguridad de Nexus: enero de 2016

Publicado el 4 de enero de 2016 | Actualizado 28 de abril de 2016

Hemos lanzado una actualización de seguridad para dispositivos Nexus a través de una actualización inalámbrica (OTA) como parte de nuestro proceso de lanzamiento mensual de Android Security Bulletin. Las imágenes de firmware de Nexus también se han lanzado al sitio para desarrolladores de Google . Las versiones LMY49F o posterior y Android 6.0 con nivel de parche de seguridad del 1 de enero de 2016 o posterior abordan estos problemas. Consulte la sección Preguntas y respuestas comunes para obtener más detalles.

Se notificó a los socios y se les proporcionaron actualizaciones para los problemas descritos en este boletín el 7 de diciembre de 2015 o antes. En su caso, los parches de código fuente para estos problemas se han lanzado al repositorio de Android Open Source Project (AOSP).

El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución remota de código en un dispositivo afectado a través de múltiples métodos como correo electrónico, navegación web y MMS al procesar archivos multimedia. La evaluación de la gravedad se basa en el efecto que la explotación de la vulnerabilidad podría tener en un dispositivo afectado, suponiendo que las mitigaciones de plataforma y servicio estén deshabilitadas para fines de desarrollo o si se omiten con éxito.

No hemos tenido informes de explotación activa por parte de los clientes de estos problemas recientemente informados. Consulte la sección Mitigaciones para obtener detalles sobre las protecciones de la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet, que mejoran la seguridad de la plataforma de Android. Alentamos a todos los clientes a aceptar estas actualizaciones en sus dispositivos.

Mitigaciones

Este es un resumen de las mitigaciones proporcionadas por la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet. Estas capacidades reducen la probabilidad de que las vulnerabilidades de seguridad puedan explotarse con éxito en Android.

  • La explotación de muchos problemas en Android se hace más difícil por las mejoras en las versiones más recientes de la plataforma Android. Alentamos a todos los usuarios a actualizar a la última versión de Android cuando sea posible.
  • El equipo de seguridad de Android está monitoreando activamente el abuso con Verify Apps y SafetyNet, que alertará sobre las aplicaciones potencialmente dañinas que se instalarán. Las herramientas de rooteo de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones desde fuera de Google Play, Verify Apps está habilitado de forma predeterminada y advertirá a los usuarios sobre las aplicaciones de rooteo conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de escalada de privilegios. Si dicha aplicación ya se ha instalado, Verify Apps notificará al usuario e intentará eliminar dichas aplicaciones.
  • Según corresponda, las aplicaciones Google Hangouts y Messenger no pasan automáticamente los medios a procesos como el servidor de medios.

Agradecimientos

Nos gustaría agradecer a estos investigadores por sus contribuciones:

  • Abhishek Arya, Oliver Chang y Martin Barbella del equipo de seguridad de Google Chrome: CVE-2015-6636
  • Sen Nie ( @nforest_ ) y jfang del laboratorio KEEN, Tencent ( @ K33nTeam ): CVE-2015-6637
  • Yabin Cui del equipo Android Bionic: CVE-2015-6640
  • Tom Craig de Google X: CVE-2015-6641
  • Jann Horn ( https://thejh.net ): CVE-2015-6642
  • Id. De PGP Jouni Malinen EFC895FA: CVE-2015-5310
  • Quan Nguyen, del equipo de ingenieros de seguridad de la información de Google: CVE-2015-6644
  • Gal Beniamini ( @laginimaineb , http://bits-please.blogspot.com ): CVE-2015-6639

Detalles de vulnerabilidad de seguridad

En las siguientes secciones, proporcionamos detalles para cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche 2016-01-01. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones actualizadas y la fecha informada. Cuando esté disponible, vincularemos el cambio de AOSP que solucionó el problema a la identificación del error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a los números que siguen a la identificación del error.

Vulnerabilidad de ejecución remota de código en Mediaserver

Durante el procesamiento de archivos y datos multimedia de un archivo especialmente diseñado, las vulnerabilidades en el servidor de medios podrían permitir que un atacante cause corrupción de memoria y ejecución remota de código como el proceso del servidor de medios.

La funcionalidad afectada se proporciona como una parte central del sistema operativo y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, especialmente MMS y reproducción de medios en el navegador.

Este problema se clasifica como una gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que normalmente no pueden acceder las aplicaciones de terceros.

CVE Error (es) con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6636 ANDROID-25070493 Crítico 5.0, 5.1.1, 6.0, 6.0.1 Google Internal
ANDROID-24686670 Crítico 5.0, 5.1.1, 6.0, 6.0.1 Google Internal

Elevación de la vulnerabilidad de privilegios en el controlador misc-sd

Una vulnerabilidad de elevación de privilegios en el controlador misc-sd de MediaTek podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del núcleo. Este problema se clasifica como una gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, en cuyo caso el dispositivo posiblemente deba repararse volviendo a flashear el sistema operativo.

CVE Loco) Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6637 ANDROID-25307013 * Crítico 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 26 de oct. De 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Elevación de la vulnerabilidad de privilegios en el controlador de Imagination Technologies

Una vulnerabilidad de elevación de privilegios en un controlador de núcleo de Imagination Technologies podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del núcleo. Este problema se clasifica como una gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, en cuyo caso el dispositivo posiblemente deba repararse volviendo a flashear el sistema operativo.

CVE Loco) Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6638 ANDROID-24673908 * Crítico 5.0, 5.1.1, 6.0, 6.0.1 Google Internal

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Elevación de vulnerabilidades de privilegios en Trustzone

La elevación de las vulnerabilidades de privilegios en la aplicación Widevine QSEE TrustZone podría permitir una aplicación comprometida y privilegiada con acceso a QSEECOM para ejecutar código arbitrario en el contexto de Trustzone. Este problema se clasifica como una gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, en cuyo caso el dispositivo posiblemente deba repararse volviendo a flashear el sistema operativo.

CVE Loco) Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6639 ANDROID-24446875 * Crítico 5.0, 5.1.1, 6.0, 6.0.1 23 de sep. De 2015
CVE-2015-6647 ANDROID-24441554 * Crítico 5.0, 5.1.1, 6.0, 6.0.1 27 de sep. De 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Elevación de la vulnerabilidad de privilegios en el núcleo

Una vulnerabilidad de elevación de privilegios en el núcleo podría permitir que una aplicación maliciosa local ejecute código arbitrario en el núcleo. Este problema se clasifica como una gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, en cuyo caso el dispositivo posiblemente deba repararse volviendo a flashear el sistema operativo.

CVE Error (es) con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6640 ANDROID-20017123 Crítico 4.4.4, 5.0, 5.1.1, 6.0 Google Internal

Elevación de la vulnerabilidad de privilegios en Bluetooth

Una vulnerabilidad de elevación de privilegios en el componente Bluetooth podría permitir que un dispositivo remoto emparejado a través de Bluetooth obtenga acceso a la información privada del usuario (Contactos). Este problema se califica como de gravedad alta porque podría usarse para obtener capacidades " peligrosas " de forma remota, estos permisos son accesibles solo para aplicaciones de terceros instaladas localmente.

CVE Error (es) con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6641 ANDROID-23607427 [ 2 ] Alto 6.0, 6.0.1 Google Internal

Vulnerabilidad de divulgación de información en Kernel

Una vulnerabilidad de divulgación de información en el núcleo podría permitir eludir las medidas de seguridad establecidas para aumentar la dificultad de los atacantes que explotan la plataforma. Estos problemas se clasifican como de gravedad alta porque también podrían usarse para obtener capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , que no son accesibles para aplicaciones de terceros.

CVE Loco) Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6642 ANDROID-24157888 * Alto 4.4.4, 5.0, 5.1.1, 6.0 12 de sep. De 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Elevación de la vulnerabilidad de privilegios en el asistente de configuración

Una vulnerabilidad de elevación de privilegios en el Asistente de configuración podría permitir que un atacante con acceso físico al dispositivo obtenga acceso a la configuración del dispositivo y realice un reinicio manual del dispositivo. Este problema se clasifica como gravedad moderada porque podría utilizarse para evitar la protección de restablecimiento de fábrica de manera incorrecta.

CVE Error (es) con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6643 ANDROID-25290269 [ 2 ] Moderar 5.1.1, 6.0, 6.0.1 Google Internal

Elevación de la vulnerabilidad de privilegios en Wi-Fi

Una vulnerabilidad de elevación de privilegios en el componente de Wi-Fi podría permitir que un atacante local cercano obtenga acceso a la información relacionada con el servicio de Wi-Fi. Un dispositivo solo es vulnerable a este problema mientras está en proximidad local. Este problema se clasifica como gravedad moderada porque podría usarse para obtener capacidades " normales " de forma remota, estos permisos son accesibles solo para aplicaciones de terceros instaladas localmente.

CVE Error (es) con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2015-5310 ANDROID-25266660 Moderar 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 25 de octubre de 2015

Vulnerabilidad de divulgación de información en Bouncy Castle

Una vulnerabilidad de divulgación de información en Bouncy Castle podría permitir que una aplicación maliciosa local obtenga acceso a la información privada del usuario. Este problema se clasifica como gravedad moderada porque podría usarse para obtener permisos " peligrosos " de forma incorrecta.

CVE Error (es) con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6644 ANDROID-24106146 Moderar 4.4.4, 5.0, 5.1.1, 6.0, 6.0.1 Google Internal

Vulnerabilidad de denegación de servicio en SyncManager

Una vulnerabilidad de denegación de servicio en SyncManager podría permitir que una aplicación maliciosa local provoque un bucle de reinicio. Este problema se clasifica como gravedad moderada porque podría usarse para causar una denegación de servicio temporal local que posiblemente deba repararse mediante un restablecimiento de fábrica.

CVE Error (es) con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6645 ANDROID-23591205 Moderar 4.4.4, 5.0, 5.1.1, 6.0 Google Internal

Reducción de superficie de ataque para núcleos Nexus

SysV IPC no es compatible con ningún kernel de Android. Hemos eliminado esto del sistema operativo ya que expone una superficie de ataque adicional que no agrega funcionalidad al sistema que podría ser explotada por aplicaciones maliciosas. Además, los IPC de System V no cumplen con el ciclo de vida de las aplicaciones de Android porque el administrador de memoria no puede liberar los recursos asignados, lo que genera una pérdida global de recursos del kernel. Este cambio aborda problemas como CVE-2015-7613.

CVE Loco) Gravedad Versiones actualizadas Fecha reportada
CVE-2015-6646 ANDROID-22300191 * Moderar 6.0 Google Internal

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Preguntas y respuestas comunes

Esta sección revisa las respuestas a preguntas comunes que pueden ocurrir después de leer este boletín.

1. ¿Cómo determino si mi dispositivo se actualiza para resolver estos problemas?

Las versiones LMY49F o posterior y Android 6.0 con nivel de parche de seguridad del 1 de enero de 2016 o posterior abordan estos problemas. Consulte la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel del parche de seguridad. Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de cadena de parche en: [ro.build.version.security_patch]: [2016-01-01]

Revisiones

  • 4 de enero de 2016: Boletín publicado.
  • 6 de enero de 2016: Boletín revisado para incluir enlaces AOSP.
  • 28 de abril de 2016: Se eliminó CVE-2015-6617 de Agradecimientos y se agregó CVE-2015-6647 a la tabla de resumen