Google se compromete a promover la equidad racial para las comunidades negras. Ver cómo.
Se usó la API de Cloud Translation para traducir esta página.
Switch to English

Boletín de seguridad de Nexus: abril de 2016

Publicado el 4 de abril de 2016 | Actualizado 19 de diciembre de 2016

Hemos lanzado una actualización de seguridad para dispositivos Nexus a través de una actualización inalámbrica (OTA) como parte de nuestro proceso de lanzamiento mensual de Android Security Bulletin. Las imágenes de firmware de Nexus también se han lanzado al sitio para desarrolladores de Google . Los niveles de parche de seguridad del 2 de abril de 2016 o posterior abordan estos problemas (consulte la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad).

Se notificó a los socios sobre los problemas descritos en el boletín el 16 de marzo de 2016 o antes. En su caso, los parches de código fuente para estos problemas se han lanzado al repositorio de Android Open Source Project (AOSP).

El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución remota de código en un dispositivo afectado a través de múltiples métodos como correo electrónico, navegación web y MMS al procesar archivos multimedia. La evaluación de la gravedad se basa en el efecto que la explotación de la vulnerabilidad podría tener en un dispositivo afectado, suponiendo que las mitigaciones de plataforma y servicio estén deshabilitadas para fines de desarrollo o si se omiten con éxito.

El Aviso de seguridad de Android 2016-03-18 discutió anteriormente el uso de CVE-2015-1805 por una aplicación de rooteo. CVE-2015-1805 se resuelve en esta actualización. No ha habido informes de explotación activa de clientes o abuso de los otros problemas recientemente informados. Consulte la sección Mitigaciones para obtener más detalles sobre las protecciones de la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet, que mejoran la seguridad de la plataforma de Android.

Mitigaciones

Este es un resumen de las mitigaciones proporcionadas por la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet. Estas capacidades reducen la probabilidad de que las vulnerabilidades de seguridad puedan explotarse con éxito en Android.

  • La explotación de muchos problemas en Android se hace más difícil por las mejoras en las versiones más recientes de la plataforma Android. Alentamos a todos los usuarios a actualizar a la última versión de Android cuando sea posible.
  • El equipo de seguridad de Android está monitoreando activamente el abuso con Verify Apps y SafetyNet, que advertirán al usuario sobre las aplicaciones potencialmente dañinas detectadas que están por instalarse. Las herramientas de rooteo de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones desde fuera de Google Play, Verify Apps está habilitado de forma predeterminada y advertirá a los usuarios sobre las aplicaciones de rooteo conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de escalada de privilegios. Si dicha aplicación ya se ha instalado, Verify Apps notificará al usuario e intentará eliminar dichas aplicaciones.
  • Según corresponda, las aplicaciones Google Hangouts y Messenger no pasan automáticamente los medios a procesos como el servidor de medios.

Agradecimientos

El equipo de Seguridad de Android desea agradecer a estos investigadores por sus contribuciones:

El equipo de Seguridad de Android también agradece a Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) y Xuxian Jiang de C0RE Team y Zimperium por su contribución a CVE-2015-1805.

Detalles de vulnerabilidad de seguridad

Las secciones a continuación contienen detalles para cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche 2016-04-02. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones afectadas y la fecha informada. Cuando esté disponible, vincularemos el compromiso de AOSP que solucionó el problema con la identificación del error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a los números que siguen a la identificación del error.

Vulnerabilidad de ejecución remota de código en DHCPCD

Una vulnerabilidad en el servicio del Protocolo de configuración dinámica de host podría permitir a un atacante causar daños en la memoria, lo que podría conducir a la ejecución remota de código. Este problema se califica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del cliente DHCP. El servicio DHCP tiene acceso a privilegios a los que normalmente no pueden acceder las aplicaciones de terceros.

CVE Errores con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2014-6060 ANDROID-15268738 Crítico 4.4.4 30 de julio de 2014
CVE-2014-6060 ANDROID-16677003 Crítico 4.4.4 30 de julio de 2014
CVE-2016-1503 ANDROID-26461634 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 de enero de 2016

Vulnerabilidad de ejecución remota de código en códec de medios

Durante el procesamiento de archivos y datos de medios de un archivo especialmente diseñado, las vulnerabilidades en un códec de medios utilizado por mediaserver podrían permitir que un atacante cause daños en la memoria y la ejecución remota de código como el proceso del servidor de medios.

La funcionalidad afectada se proporciona como una parte central del sistema operativo, y hay múltiples aplicaciones que permiten acceder a ella con contenido remoto, especialmente MMS y reproducción de medios en el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que normalmente no pueden acceder las aplicaciones de terceros.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0834 ANDROID-26220548 * Crítico 6.0, 6.0.1 16 de diciembre de 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de ejecución remota de código en Mediaserver

Durante el procesamiento de archivos y datos de medios de un archivo especialmente diseñado, las vulnerabilidades en el servidor de medios podrían permitir que un atacante cause corrupción de memoria y ejecución remota de código como el proceso del servidor de medios.

La funcionalidad afectada se proporciona como una parte central del sistema operativo, y hay múltiples aplicaciones que permiten acceder a ella con contenido remoto, especialmente MMS y reproducción de medios en el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que normalmente no pueden acceder las aplicaciones de terceros.

CVE Errores con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0835 ANDROID-26070014 [ 2 ] Crítico 6.0, 6.0.1 6 de diciembre de 2015
CVE-2016-0836 ANDROID-25812590 Crítico 6.0, 6.0.1 19 de noviembre de 2015
CVE-2016-0837 ANDROID-27208621 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 de febrero de 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal
CVE-2016-0839 ANDROID-25753245 Crítico 6.0, 6.0.1 Google Internal
CVE-2016-0840 ANDROID-26399350 Crítico 6.0, 6.0.1 Google Internal
CVE-2016-0841 ANDROID-26040840 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal

Vulnerabilidad de ejecución remota de código en libstagefright

Durante el procesamiento de archivos y datos de medios de un archivo especialmente diseñado, las vulnerabilidades en libstagefright podrían permitir que un atacante cause corrupción de memoria y ejecución remota de código como el proceso del servidor de medios.

La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, especialmente MMS y reproducción de medios en el navegador.

Este problema se clasifica como una gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que normalmente no pueden acceder las aplicaciones de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0842 ANDROID-25818142 Crítico 6.0, 6.0.1 23 de nov. De 2015

Elevación de la vulnerabilidad de privilegios en el núcleo

Una vulnerabilidad de elevación de privilegios en el núcleo podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del núcleo. Este problema se clasifica como de gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, y el dispositivo posiblemente deba repararse volviendo a flashear el sistema operativo. Este problema se describió en el Aviso de seguridad de Android 2016-03-18 .

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2015-1805 ANDROID-27275324 * Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de febrero de 2016

* El parche en AOSP está disponible para versiones específicas del kernel: 3.14 , 3.10 y 3.4 .

Elevación de la vulnerabilidad de privilegios en el módulo de rendimiento de Qualcomm

Una vulnerabilidad de elevación de privilegios en el componente de administrador de eventos de rendimiento para procesadores ARM de Qualcomm podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del núcleo. Este problema se clasifica como de gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, y el dispositivo posiblemente deba repararse volviendo a flashear el sistema operativo.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0843 ANDROID-25801197 * Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de noviembre de 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Elevación de la vulnerabilidad de privilegios en el componente Qualcomm RF

Existe una vulnerabilidad en el controlador Qualcomm RF que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del núcleo. Este problema se clasifica como de gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, y el dispositivo posiblemente deba repararse volviendo a flashear el sistema operativo.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0844 ANDROID-26324307 * Crítico 6.0, 6.0.1 25 de diciembre de 2015

* Un parche adicional para este problema se encuentra en Linux aguas arriba .

Elevación de la vulnerabilidad de privilegios en el núcleo

Una vulnerabilidad de elevación de privilegios en el núcleo común podría permitir que una aplicación maliciosa local ejecute código arbitrario en el núcleo. Este problema se clasifica como de gravedad crítica debido a la posibilidad de un compromiso permanente del dispositivo local y el dispositivo posiblemente deba repararse volviendo a flashear el sistema operativo.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2014-9322 ANDROID-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
Crítico 6.0, 6.0.1 25 de diciembre de 2015

Elevación de la vulnerabilidad de privilegios en la interfaz nativa de memoria

Una vulnerabilidad de elevación de privilegios en la interfaz nativa de IMemory podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0846 ANDROID-26877992 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 de enero de 2016

Elevación de la vulnerabilidad de privilegios en el componente de telecomunicaciones

Una vulnerabilidad de elevación de privilegios en el componente de telecomunicaciones podría permitir que un atacante haga que las llamadas parezcan provenir de cualquier número arbitrario. Este problema se clasifica como de gravedad alta porque podría usarse para obtener acceso local a capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , que no son accesibles para una aplicación de terceros.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0847 ANDROID-26864502 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal

Elevación de la vulnerabilidad de privilegios en el Administrador de descargas

Una vulnerabilidad de elevación de privilegios en el Administrador de descargas podría permitir que un atacante obtenga acceso a archivos no autorizados en almacenamiento privado. Este problema se clasifica como de gravedad alta porque podría usarse para obtener acceso local a capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , que no son accesibles para una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0848 ANDROID-26211054 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 de diciembre de 2015

Elevación de la vulnerabilidad de privilegios en el procedimiento de recuperación

Una vulnerabilidad de elevación de privilegios en el Procedimiento de recuperación podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0849 ANDROID-26960931 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de febrero de 2016

Elevación de la vulnerabilidad de privilegios en Bluetooth

Una vulnerabilidad de elevación de privilegios en Bluetooth podría permitir que un dispositivo no confiable se vincule con el teléfono durante el proceso de emparejamiento inicial. Esto podría conducir a un acceso no autorizado a los recursos del dispositivo, como la conexión a Internet. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas que no son accesibles para dispositivos no confiables.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0850 ANDROID-26551752 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 de enero de 2016

Elevación de la vulnerabilidad de privilegios en el controlador háptico de Texas Instruments

Existe una vulnerabilidad de elevación de privilegios en un controlador de núcleo háptico de Texas Instruments que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del núcleo. Normalmente, un error de ejecución del código del kernel como este se consideraría Crítico, pero debido a que primero requiere comprometer un servicio que puede llamar al controlador, se clasifica como Alta gravedad.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2409 ANDROID-25981545 * Alto 6.0, 6.0.1 25 de diciembre de 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en el controlador de kernel de video Qualcomm

Existe una vulnerabilidad de elevación de privilegios en un controlador de kernel de video Qualcomm que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Normalmente, una vulnerabilidad de ejecución del código del kernel se consideraría Crítica, pero debido a que primero requiere comprometer un servicio que puede llamar al controlador, se califica como Alta gravedad.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2410 ANDROID-26291677 * Alto 6.0, 6.0.1 21 de diciembre de 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Elevación de la vulnerabilidad de privilegios en el componente Qualcomm Power Management

Existe una vulnerabilidad de elevación de privilegios en un controlador de kernel de Qualcomm Power Management que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Normalmente, un error de ejecución del código del kernel como este se consideraría Crítico, pero debido a que primero requiere comprometer el dispositivo y la elevación a la raíz, se clasifica como Alta gravedad.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2411 ANDROID-26866053 * Alto 6.0, 6.0.1 28 de enero de 2016

* El parche para este problema no está en AOSP. La actualización está contenida en los últimos controladores binarios para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Elevación de la vulnerabilidad de privilegios en System_server

Una vulnerabilidad de elevación de privilegios en System_server podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2412 ANDROID-26593930 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 de enero de 2016

Elevación de la vulnerabilidad de privilegios en Mediaserver

Una vulnerabilidad de elevación de privilegios en el servidor de medios podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2413 ANDROID-26403627 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 5 de enero de 2016

Vulnerabilidad de denegación de servicio en Minikin

Una vulnerabilidad de denegación de servicio en la biblioteca Minikin podría permitir que un atacante local bloquee temporalmente el acceso a un dispositivo afectado. Un atacante podría hacer que se cargue una fuente no confiable y provocar un desbordamiento en el componente Minikin, lo que provocaría un bloqueo. Esto se califica como de gravedad alta porque la denegación de servicio llevaría a un ciclo de reinicio continuo.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2414 ANDROID-26413177 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de noviembre de 2015

Vulnerabilidad de divulgación de información en Exchange ActiveSync

Una vulnerabilidad de divulgación de información en Exchange ActiveSync podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema se clasifica como de gravedad alta porque permite el acceso remoto a datos protegidos.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2415 ANDROID-26488455 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 11 de enero de 2016

Vulnerabilidad de divulgación de información en Mediaserver

Una vulnerabilidad de divulgación de información en Mediaserver podría permitir eludir las medidas de seguridad establecidas para aumentar la dificultad de los atacantes que explotan la plataforma. Estos problemas se clasifican como de gravedad alta porque también podrían usarse para obtener capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , que no son accesibles para aplicaciones de terceros.

CVE Errores con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2416 ANDROID-27046057 [ 2 ] Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de febrero de 2016
CVE-2016-2417 ANDROID-26914474 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 de febrero de 2016
CVE-2016-2418 ANDROID-26324358 Alto 6.0, 6.0.1 24 de diciembre de 2015
CVE-2016-2419 ANDROID-26323455 Alto 6.0, 6.0.1 24 de diciembre de 2015

Elevación de la vulnerabilidad de privilegios en el componente depurado

Una vulnerabilidad de elevación de privilegios en el componente Debuggerd podría permitir que una aplicación maliciosa local ejecute código arbitrario que podría conducir a un compromiso permanente del dispositivo. Como resultado, el dispositivo posiblemente deba repararse volviendo a flashear el sistema operativo. Normalmente, un error de ejecución de código como este se calificaría como Crítico, pero debido a que permite una elevación de privilegios del sistema a la raíz solo en la versión 4.4.4 de Android, se califica como Moderado. En las versiones de Android 5.0 y superiores, las reglas de SELinux evitan que las aplicaciones de terceros lleguen al código afectado.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2420 ANDROID-26403620 [ 2 ] Moderar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de enero de 2016

Elevación de la vulnerabilidad de privilegios en el asistente de configuración

Una vulnerabilidad en el Asistente de configuración podría permitir que un atacante omita la Protección de restablecimiento de fábrica y obtenga acceso al dispositivo. Esto se califica como gravedad moderada porque potencialmente permite que alguien con acceso físico a un dispositivo omita la protección de restablecimiento de fábrica, lo que permitiría a un atacante restablecer con éxito un dispositivo, borrando todos los datos.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2421 ANDROID-26154410 * Moderar 5.1.1, 6.0, 6.0.1 Google Internal

* El parche para este problema no está en AOSP. La actualización está contenida en la última versión binaria para dispositivos Nexus disponible en el sitio para desarrolladores de Google .

Elevación de la vulnerabilidad de privilegios en Wi-Fi

Una vulnerabilidad de elevación de privilegios en Wi-Fi podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como gravedad moderada porque podría usarse para obtener capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2422 ANDROID-26324357 Moderar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 de diciembre de 2015

Elevación de la vulnerabilidad de privilegios en telefonía

Una vulnerabilidad en la telefonía podría permitir que un atacante omita la Protección de restablecimiento de fábrica y obtenga acceso al dispositivo. Esto se califica como gravedad moderada porque potencialmente permite que alguien con acceso físico a un dispositivo omita la protección de restablecimiento de fábrica, lo que permitiría a un atacante restablecer con éxito un dispositivo, borrando todos los datos.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2423 ANDROID-26303187 Moderar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal

Vulnerabilidad de denegación de servicio en SyncStorageEngine

Una vulnerabilidad de denegación de servicio en SyncStorageEngine podría permitir que una aplicación maliciosa local provoque un bucle de reinicio. Este problema se clasifica como gravedad moderada porque podría usarse para causar una denegación de servicio temporal local que posiblemente deba repararse mediante un restablecimiento de fábrica.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2424 ANDROID-26513719 Moderar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Google Internal

Vulnerabilidad de divulgación de información en correo AOSP

Una vulnerabilidad de divulgación de información en AOSP Mail podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema se clasifica como gravedad moderada porque podría usarse para obtener permisos "peligrosos" de forma incorrecta.

CVE Errores con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2425 ANDROID-26989185 Moderar 4.4.4, 5.1.1, 6.0, 6.0.1 29 de enero de 2016
CVE-2016-2425 ANDROID-7154234 * Moderar 5.0.2 29 de enero de 2016

* El parche para este problema no está en AOSP. La actualización está contenida en la última versión binaria para dispositivos Nexus disponible en el sitio para desarrolladores de Google .

Vulnerabilidad de divulgación de información en Framework

Una vulnerabilidad de divulgación de información en el componente Marco podría permitir que una aplicación acceda a información confidencial. Este problema tiene una gravedad moderada porque podría usarse para acceder de manera incorrecta a los datos sin permiso.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2426 ANDROID-26094635 Moderar 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 de diciembre de 2015

Preguntas y respuestas comunes

Esta sección revisa las respuestas a preguntas comunes que pueden ocurrir después de leer este boletín.

1. ¿Cómo determino si mi dispositivo se actualiza para resolver estos problemas?

Los niveles de parche de seguridad del 2 de abril de 2016 o posterior abordan estos problemas (consulte la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel de parche de seguridad). Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de cadena de parche en: [ro.build.version.security_patch]: [2016-04-02]

2. ¿Por qué es este nivel de parche de seguridad el 2 de abril de 2016?

El nivel de parche de seguridad para la actualización de seguridad mensual normalmente se establece en el primero del mes. Para abril, un nivel de parche de seguridad del 1 de abril de 2016 indica que se han solucionado todos los problemas descritos en este boletín, con la excepción de CVE-2015-1805, como se describe en el Aviso de seguridad de Android 2016-03-18 . Un nivel de parche de seguridad del 2 de abril de 2016 indica que se han solucionado todos los problemas descritos en este boletín, incluido CVE-2015-1805, como se describe en el Aviso de seguridad de Android 2016-03-18 .

Revisiones

  • 04 de abril de 2016: Boletín publicado.
  • 06 de abril de 2016: Boletín revisado para incluir enlaces AOSP.
  • 07 de abril de 2016: Boletín revisado para incluir un enlace adicional de AOSP.
  • 11 de julio de 2016: descripción actualizada de CVE-2016-2427.
  • 01 de agosto de 2016: descripción actualizada de CVE-2016-2427
  • 19 de diciembre de 2016: actualizado para eliminar CVE-2016-2427, que se revirtió.