Boletín de seguridad de Nexus: abril de 2016

Publicado el 04 de abril de 2016 | Actualizado el 19 de diciembre de 2016

Hemos lanzado una actualización de seguridad para los dispositivos Nexus a través de una actualización inalámbrica (OTA) como parte de nuestro proceso de publicación mensual del boletín de seguridad de Android. Las imágenes del firmware de Nexus también se han publicado en el sitio de desarrolladores de Google . Los niveles de parches de seguridad del 2 de abril de 2016 o posteriores solucionan estos problemas (consulte la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel del parche de seguridad).

Los socios fueron notificados sobre los problemas descritos en el boletín el 16 de marzo de 2016 o antes. Donde corresponde, los parches de código fuente para estos problemas se han publicado en el repositorio del Proyecto de código abierto de Android (AOSP).

El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución remota de código en un dispositivo afectado a través de múltiples métodos, como correo electrónico, navegación web y MMS al procesar archivos multimedia. La evaluación de la gravedad se basa en el efecto que podría tener la explotación de la vulnerabilidad en un dispositivo afectado, suponiendo que las mitigaciones de la plataforma y el servicio estén deshabilitadas para fines de desarrollo o si se eluden con éxito.

El aviso de seguridad de Android 2016-03-18 discutió anteriormente el uso de CVE-2015-1805 por parte de una aplicación de enraizamiento. CVE-2015-1805 se resuelve en esta actualización. No ha habido informes de explotación activa de clientes o abuso de los otros problemas recientemente informados. Consulte la sección Mitigaciones para obtener más detalles sobre las protecciones de la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet, que mejoran la seguridad de la plataforma Android.

Mitigaciones

Este es un resumen de las mitigaciones proporcionadas por la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet. Estas capacidades reducen la probabilidad de que las vulnerabilidades de seguridad puedan explotarse con éxito en Android.

  • La explotación de muchos problemas en Android se hace más difícil debido a las mejoras en las versiones más recientes de la plataforma Android. Alentamos a todos los usuarios a actualizar a la última versión de Android siempre que sea posible.
  • El equipo de seguridad de Android está monitoreando activamente el abuso con Verify Apps y SafetyNet, que advertirá al usuario sobre las aplicaciones potencialmente dañinas detectadas que están a punto de instalarse. Las herramientas de rooteo de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones desde fuera de Google Play, Verificar aplicaciones está habilitado de forma predeterminada y advertirá a los usuarios sobre aplicaciones de enraizamiento conocidas. Verificar aplicaciones intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de escalada de privilegios. Si ya se instaló dicha aplicación, Verify Apps notificará al usuario e intentará eliminar dichas aplicaciones.
  • Según corresponda, las aplicaciones Google Hangouts y Messenger no pasan automáticamente los medios a procesos como el servidor de medios.

Agradecimientos

El equipo de seguridad de Android quisiera agradecer a estos investigadores por sus contribuciones:

  • Abhishek Arya, Oliver Chang y Martin Barbella del equipo de seguridad de Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
  • Anestis Bechtsoudis ( @anestisb ) de CENSO SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
  • Brad Ebinger y Santos Cordon del equipo de Google Telecom: CVE-2016-0847
  • Dominik Schürmann del Instituto de Sistemas Operativos y Redes Informáticas , TU Braunschweig: CVE-2016-2425
  • Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) de IceSword Lab, Qihoo 360: CVE-2016-0844
  • George Piskas de la Escuela Politécnica Federal de Lausana : CVE-2016-2426
  • Guang Gong (龚广) ( @oldfresher ) de Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
  • James Forshaw del Proyecto Cero de Google: CVE-2016-2417, CVE-2016-0846
  • Jianqiang Zhao( @jianqiangzhao ), pjf y Gengjia Chen ( @chengjia4574 ) de IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
  • Jianqiang Zhao ( @jianqiangzhao ) y pjf de IceSword Lab, Qihoo 360: CVE-2016-2409
  • Nancy Wang de Vertu Corporation LTD: CVE-2016-0837
  • Nasim Zamir : CVE-2016-2409
  • Nico Golde ( @iamnion ) de la Iniciativa de seguridad de productos de Qualcomm: CVE-2016-2420, CVE-2016-0849
  • Peter Pi ( @heisecode ) de Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
  • Richard Shupak: CVE-2016-2415
  • Romain Trouvé de MWR Labs : CVE-2016-0850
  • Estuardo Henderson: CVE-2016-2422
  • Vishwath Mohan de Seguridad de Android: CVE-2016-2424
  • Weichao Sun ( @sunblate ) de Alibaba Inc.: CVE-2016-2414
  • Wish Wu ( @wish_wu ) de Trend Micro Inc.: CVE-2016-0843
  • Yeonjoon Lee y Xiaofeng Wang de la Universidad de Indiana Bloomington, Tongxin Li y Xinhui Han de la Universidad de Pekín: CVE-2016-0848

El equipo de seguridad de Android también agradece a Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) y Xuxian Jiang de C0RE Team y Zimperium por su contribución a CVE-2015-1805.

Detalles de vulnerabilidad de seguridad

Las siguientes secciones contienen detalles para cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche 2016-04-02. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones afectadas y la fecha del informe. Cuando esté disponible, vincularemos la confirmación de AOSP que solucionó el problema con el ID del error. Cuando varios cambios se relacionan con un solo error, las referencias adicionales de AOSP se vinculan a los números que siguen al ID del error.

Vulnerabilidad de ejecución remota de código en DHCPCD

Una vulnerabilidad en el servicio del Protocolo de configuración dinámica de host podría permitir que un atacante provoque daños en la memoria, lo que podría conducir a la ejecución remota de código. Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código en el contexto del cliente DHCP. El servicio DHCP tiene acceso a privilegios a los que las aplicaciones de terceros normalmente no pueden acceder.

CVE Errores con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2014-6060 ANDROID-15268738 Crítico 4.4.4 30 de julio de 2014
CVE-2014-6060 ANDROID-16677003 Crítico 4.4.4 30 de julio de 2014
CVE-2016-1503 ANDROID-26461634 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 de enero de 2016

Vulnerabilidad de ejecución remota de código en Media Codec

Durante el procesamiento de datos y archivos de medios de un archivo especialmente diseñado, las vulnerabilidades en un códec de medios utilizado por mediaserver podrían permitir que un atacante provoque daños en la memoria y la ejecución remota de código como el proceso de mediaserver.

La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema tiene una gravedad crítica debido a la posibilidad de ejecución remota de código en el contexto del servicio del servidor de medios. El servicio de servidor de medios tiene acceso a flujos de audio y video, así como acceso a privilegios a los que las aplicaciones de terceros normalmente no pueden acceder.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0834 ANDROID-26220548* Crítico 6.0, 6.0.1 16 de diciembre de 2015

* El parche para este problema no está en AOSP. La actualización está incluida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de ejecución remota de código en Mediaserver

Durante el procesamiento de archivos multimedia y datos de un archivo especialmente diseñado, las vulnerabilidades en el servidor de medios podrían permitir que un atacante provoque daños en la memoria y la ejecución remota de código como el proceso del servidor de medios.

La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema tiene una gravedad crítica debido a la posibilidad de ejecución remota de código en el contexto del servicio del servidor de medios. El servicio de servidor de medios tiene acceso a flujos de audio y video, así como acceso a privilegios a los que las aplicaciones de terceros normalmente no pueden acceder.

CVE Errores con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0835 ANDROID-26070014 [ 2 ] Crítico 6.0, 6.0.1 6 de diciembre de 2015
CVE-2016-0836 ANDROID-25812590 Crítico 6.0, 6.0.1 19 de noviembre de 2015
CVE-2016-0837 ANDROID-27208621 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 de febrero de 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 interno de Google
CVE-2016-0839 ANDROID-25753245 Crítico 6.0, 6.0.1 interno de Google
CVE-2016-0840 ANDROID-26399350 Crítico 6.0, 6.0.1 interno de Google
CVE-2016-0841 ANDROID-26040840 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 interno de Google

Vulnerabilidad de ejecución remota de código en libstagefright

Durante el procesamiento de archivos multimedia y datos de un archivo especialmente diseñado, las vulnerabilidades en libstagefright podrían permitir que un atacante provoque daños en la memoria y la ejecución remota de código como el proceso del servidor multimedia.

La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema tiene una gravedad crítica debido a la posibilidad de ejecución remota de código en el contexto del servicio del servidor de medios. El servicio de servidor de medios tiene acceso a flujos de audio y video, así como acceso a privilegios a los que las aplicaciones de terceros normalmente no pueden acceder.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0842 ANDROID-25818142 Crítico 6.0, 6.0.1 23 de noviembre de 2015

Elevación de la vulnerabilidad de privilegios en el kernel

Una vulnerabilidad de elevación de privilegios en el kernel podría permitir que una aplicación local maliciosa ejecute código arbitrario dentro del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, y es posible que el dispositivo deba repararse volviendo a actualizar el sistema operativo. Este problema se describió en el aviso de seguridad de Android 2016-03-18 .

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2015-1805 ANDROID-27275324* Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de febrero de 2016

* El parche en AOSP está disponible para versiones específicas del kernel: 3.14 , 3.10 y 3.4 .

Vulnerabilidad de elevación de privilegios en el módulo de rendimiento de Qualcomm

Una vulnerabilidad de elevación de privilegios en el componente del administrador de eventos de rendimiento para los procesadores ARM de Qualcomm podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, y es posible que el dispositivo deba repararse volviendo a actualizar el sistema operativo.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0843 ANDROID-25801197* Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de noviembre de 2015

* El parche para este problema no está en AOSP. La actualización está incluida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en el componente RF de Qualcomm

Existe una vulnerabilidad en el controlador RF de Qualcomm que podría permitir que una aplicación local maliciosa ejecute código arbitrario dentro del contexto del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo, y es posible que el dispositivo deba repararse volviendo a actualizar el sistema operativo.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0844 ANDROID-26324307 * Crítico 6.0, 6.0.1 25 de diciembre de 2015

* Un parche adicional para este problema se encuentra en Linux upstream .

Elevación de la vulnerabilidad de privilegios en el kernel

Una vulnerabilidad de elevación de privilegios en el núcleo común podría permitir que una aplicación local malintencionada ejecute código arbitrario en el núcleo. Este problema se clasifica como de gravedad crítica debido a la posibilidad de un compromiso local permanente del dispositivo y el dispositivo posiblemente deba repararse volviendo a actualizar el sistema operativo.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2014-9322 ANDROID-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
Crítico 6.0, 6.0.1 25 de diciembre de 2015

Vulnerabilidad de elevación de privilegios en la interfaz nativa de IMemory

Una vulnerabilidad de elevación de privilegios en la interfaz nativa de IMemory podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0846 ANDROID-26877992 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 de enero de 2016

Vulnerabilidad de elevación de privilegios en el componente de telecomunicaciones

Una vulnerabilidad de elevación de privilegios en el componente de telecomunicaciones podría permitir que un atacante haga que las llamadas parezcan provenir de cualquier número arbitrario. Este problema se clasifica como de gravedad alta porque podría usarse para obtener acceso local a capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0847 ANDROID-26864502 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 interno de Google

Vulnerabilidad de elevación de privilegios en el administrador de descargas

Una vulnerabilidad de elevación de privilegios en el Administrador de descargas podría permitir que un atacante obtenga acceso a archivos no autorizados en almacenamiento privado. Este problema se clasifica como de gravedad alta porque podría usarse para obtener acceso local a capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0848 ANDROID-26211054 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 de diciembre de 2015

Vulnerabilidad de elevación de privilegios en el procedimiento de recuperación

Una vulnerabilidad de elevación de privilegios en el Procedimiento de recuperación podría permitir que una aplicación local maliciosa ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0849 ANDROID-26960931 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de febrero de 2016

Vulnerabilidad de elevación de privilegios en Bluetooth

Una vulnerabilidad de elevación de privilegios en Bluetooth podría permitir que un dispositivo que no sea de confianza se empareje con el teléfono durante el proceso de emparejamiento inicial. Esto podría dar lugar a un acceso no autorizado a los recursos del dispositivo, como la conexión a Internet. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas a las que no pueden acceder los dispositivos que no son de confianza.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0850 ANDROID-26551752 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 de enero de 2016

Vulnerabilidad de elevación de privilegios en el controlador háptico de Texas Instruments

Existe una vulnerabilidad de elevación de privilegios en un controlador de kernel háptico de Texas Instruments que podría permitir que una aplicación local maliciosa ejecute código arbitrario dentro del contexto del kernel. Normalmente, un error de ejecución de código del kernel como este se clasificaría como crítico, pero debido a que primero requiere comprometer un servicio que puede llamar al controlador, en su lugar se clasifica como de gravedad alta.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2409 ANDROID-25981545* Alto 6.0, 6.0.1 25 de diciembre de 2015

* El parche para este problema no está en AOSP. La actualización está incluida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en el controlador del kernel de video de Qualcomm

Existe una vulnerabilidad de elevación de privilegios en un controlador de kernel de video de Qualcomm que podría permitir que una aplicación local maliciosa ejecute código arbitrario dentro del contexto del kernel. Normalmente, una vulnerabilidad de ejecución de código del kernel se clasificaría como crítica, pero debido a que primero requiere comprometer un servicio que puede llamar al controlador, en su lugar se clasifica como de gravedad alta.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2410 ANDROID-26291677* Alto 6.0, 6.0.1 21 de diciembre de 2015

* El parche para este problema no está en AOSP. La actualización está incluida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en el componente de administración de energía de Qualcomm

Existe una vulnerabilidad de elevación de privilegios en un controlador de kernel de administración de energía de Qualcomm que podría permitir que una aplicación local maliciosa ejecute código arbitrario dentro del contexto del kernel. Normalmente, un error de ejecución de código del kernel como este se clasificaría como Crítico, pero debido a que primero requiere comprometer el dispositivo y la elevación a la raíz, en su lugar se clasifica como de gravedad Alta.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2411 ANDROID-26866053* Alto 6.0, 6.0.1 28 de enero de 2016

* El parche para este problema no está en AOSP. La actualización está incluida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en System_server

Una vulnerabilidad de elevación de privilegios en System_server podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2412 ANDROID-26593930 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 de enero de 2016

Vulnerabilidad de elevación de privilegios en Mediaserver

Una vulnerabilidad de elevación de privilegios en mediaserver podría permitir que una aplicación local maliciosa ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2413 ANDROID-26403627 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 5 de enero de 2016

Vulnerabilidad de denegación de servicio en Minikin

Una vulnerabilidad de denegación de servicio en la biblioteca Minikin podría permitir que un atacante local bloquee temporalmente el acceso a un dispositivo afectado. Un atacante podría hacer que se cargue una fuente que no sea de confianza y provocar un desbordamiento en el componente Minikin, lo que provocaría un bloqueo. Esto se clasifica como de gravedad alta porque la denegación de servicio daría lugar a un bucle de reinicio continuo.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2414 ANDROID-26413177 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de noviembre de 2015

Vulnerabilidad de divulgación de información en Exchange ActiveSync

Una vulnerabilidad de divulgación de información en Exchange ActiveSync podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema se clasifica como de gravedad alta porque permite el acceso remoto a datos protegidos.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2415 ANDROID-26488455 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 11 de enero de 2016

Vulnerabilidad de divulgación de información en Mediaserver

Una vulnerabilidad de divulgación de información en Mediaserver podría permitir eludir las medidas de seguridad existentes para aumentar la dificultad de los atacantes para explotar la plataforma. Estos problemas se clasifican como de gravedad alta porque también se pueden usar para obtener capacidades elevadas, como los privilegios de permisos Signature o SignatureOrSystem , a los que no pueden acceder las aplicaciones de terceros.

CVE Errores con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2416 ANDROID-27046057 [ 2 ] Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de febrero de 2016
CVE-2016-2417 ANDROID-26914474 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 de febrero de 2016
CVE-2016-2418 ANDROID-26324358 Alto 6.0, 6.0.1 24 de diciembre de 2015
CVE-2016-2419 ANDROID-26323455 Alto 6.0, 6.0.1 24 de diciembre de 2015

Elevación de la vulnerabilidad de privilegios en el componente depurado

Una vulnerabilidad de elevación de privilegios en el componente Debuggerd podría permitir que una aplicación local maliciosa ejecute código arbitrario que podría comprometer el dispositivo de forma permanente. Como resultado, es posible que el dispositivo deba repararse volviendo a actualizar el sistema operativo. Normalmente, un error de ejecución de código como este se calificaría como Crítico, pero debido a que permite una elevación de privilegios del sistema a la raíz solo en la versión de Android 4.4.4, se califica como Moderado en su lugar. En las versiones de Android 5.0 y superiores, las reglas de SELinux evitan que las aplicaciones de terceros lleguen al código afectado.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2420 ANDROID-26403620 [ 2 ] Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de enero de 2016

Vulnerabilidad de elevación de privilegios en el asistente de configuración

Una vulnerabilidad en el asistente de configuración podría permitir que un atacante eluda la protección de restablecimiento de fábrica y obtenga acceso al dispositivo. Esto se clasifica como de gravedad moderada porque potencialmente permite que alguien con acceso físico a un dispositivo pase por alto la Protección de restablecimiento de fábrica, lo que permitiría a un atacante restablecer con éxito un dispositivo, borrando todos los datos.

CVE Insecto Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2421 ANDROID-26154410* Moderado 5.1.1, 6.0, 6.0.1 interno de Google

* El parche para este problema no está en AOSP. La actualización está incluida en la versión binaria más reciente para dispositivos Nexus disponible en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en Wi-Fi

Una vulnerabilidad de elevación de privilegios en Wi-Fi podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad moderada porque podría usarse para obtener capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2422 ANDROID-26324357 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 de diciembre de 2015

Vulnerabilidad de elevación de privilegios en telefonía

Una vulnerabilidad en la telefonía podría permitir que un atacante eluda la protección de restablecimiento de fábrica y obtenga acceso al dispositivo. Esto se clasifica como de gravedad moderada porque potencialmente permite que alguien con acceso físico a un dispositivo pase por alto la Protección de restablecimiento de fábrica, lo que permitiría a un atacante restablecer con éxito un dispositivo, borrando todos los datos.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2423 ANDROID-26303187 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 interno de Google

Vulnerabilidad de denegación de servicio en SyncStorageEngine

Una vulnerabilidad de denegación de servicio en SyncStorageEngine podría permitir que una aplicación local malintencionada provoque un bucle de reinicio. Este problema se clasifica como de gravedad moderada porque podría usarse para causar una denegación de servicio temporal local que posiblemente deba solucionarse mediante un restablecimiento de fábrica.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2424 ANDROID-26513719 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 interno de Google

Vulnerabilidad de divulgación de información en correo AOSP

Una vulnerabilidad de divulgación de información en AOSP Mail podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema tiene una gravedad moderada porque podría usarse para obtener permisos "peligrosos" de forma incorrecta.

CVE Errores con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2425 ANDROID-26989185 Moderado 4.4.4, 5.1.1, 6.0, 6.0.1 29 de enero de 2016
CVE-2016-2425 ANDROID-7154234* Moderado 5.0.2 29 de enero de 2016

* El parche para este problema no está en AOSP. La actualización está incluida en la versión binaria más reciente para dispositivos Nexus disponible en el sitio para desarrolladores de Google .

Vulnerabilidad de divulgación de información en Framework

Una vulnerabilidad de divulgación de información en el componente Framework podría permitir que una aplicación acceda a información confidencial. Este problema tiene una gravedad moderada porque podría usarse para acceder de forma incorrecta a los datos sin permiso.

CVE Error con enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2426 ANDROID-26094635 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 de diciembre de 2015

Preguntas y respuestas comunes

Esta sección revisa las respuestas a preguntas comunes que pueden surgir después de leer este boletín.

1. ¿Cómo puedo determinar si mi dispositivo está actualizado para solucionar estos problemas?

Los niveles de parches de seguridad del 2 de abril de 2016 o posteriores abordan estos problemas (consulte la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel del parche de seguridad). Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de la cadena del parche en: [ro.build.version.security_patch]:[2016-04-02]

2. ¿Por qué este nivel de parche de seguridad es del 2 de abril de 2016?

El nivel de parche de seguridad para la actualización de seguridad mensual normalmente se establece en el primer día del mes. Para abril, un nivel de parche de seguridad del 1 de abril de 2016 indica que todos los problemas descritos en este boletín con la excepción de CVE-2015-1805, como se describe en el aviso de seguridad de Android 2016-03-18 , se han solucionado. Un nivel de parche de seguridad del 2 de abril de 2016 indica que se han solucionado todos los problemas descritos en este boletín, incluido CVE-2015-1805, como se describe en el aviso de seguridad de Android 2016-03-18 .

Revisiones

  • 04 de abril de 2016: Boletín publicado.
  • 6 de abril de 2016: Boletín revisado para incluir enlaces AOSP.
  • 07 de abril de 2016: Boletín revisado para incluir un enlace AOSP adicional.
  • 11 de julio de 2016: Descripción actualizada de CVE-2016-2427.
  • 01 de agosto de 2016: descripción actualizada de CVE-2016-2427
  • 19 de diciembre de 2016: actualizado para eliminar CVE-2016-2427, que se revirtió.