Boletín de seguridad de Nexus: abril de 2016

Publicado el 04 de abril de 2016 | Actualizado el 19 de diciembre de 2016

Hemos lanzado una actualización de seguridad para dispositivos Nexus a través de una actualización inalámbrica (OTA) como parte de nuestro proceso de publicación mensual del Boletín de seguridad de Android. Las imágenes del firmware de Nexus también se han publicado en el sitio de desarrolladores de Google . Los niveles de parche de seguridad del 2 de abril de 2016 o posteriores solucionan estos problemas (consulte la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel del parche de seguridad).

Los socios fueron notificados sobre los problemas descritos en el boletín el 16 de marzo de 2016 o antes. Cuando corresponde, se han publicado parches de código fuente para estos problemas en el repositorio del Proyecto de código abierto de Android (AOSP).

El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución remota de código en un dispositivo afectado a través de múltiples métodos, como correo electrónico, navegación web y MMS al procesar archivos multimedia. La evaluación de la gravedad se basa en el efecto que la explotación de la vulnerabilidad podría tener en un dispositivo afectado, suponiendo que las mitigaciones de la plataforma y el servicio estén deshabilitadas para fines de desarrollo o si se omiten con éxito.

El Aviso de seguridad de Android 2016-03-18 analizó anteriormente el uso de CVE-2015-1805 por parte de una aplicación de rooteo. CVE-2015-1805 se resuelve en esta actualización. No ha habido informes de explotación activa por parte del cliente o abuso de los otros problemas reportados recientemente. Consulte la sección Mitigaciones para obtener más detalles sobre las protecciones de la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet, que mejoran la seguridad de la plataforma Android.

Mitigaciones

Este es un resumen de las mitigaciones proporcionadas por la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet. Estas capacidades reducen la probabilidad de que las vulnerabilidades de seguridad puedan explotarse con éxito en Android.

  • La explotación de muchos problemas en Android se vuelve más difícil debido a las mejoras en las versiones más recientes de la plataforma Android. Animamos a todos los usuarios a actualizar a la última versión de Android siempre que sea posible.
  • El equipo de seguridad de Android está monitoreando activamente el abuso con Verify Apps y SafetyNet, que advertirán al usuario sobre aplicaciones detectadas potencialmente dañinas que están a punto de instalarse. Las herramientas de rooteo de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones desde fuera de Google Play, Verify Apps está habilitado de forma predeterminada y advertirá a los usuarios sobre aplicaciones de rooteo conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de escalada de privilegios. Si dicha aplicación ya se ha instalado, Verify Apps notificará al usuario e intentará eliminar dicha aplicación.
  • Según corresponda, las aplicaciones Google Hangouts y Messenger no pasan automáticamente medios a procesos como el servidor de medios.

Agradecimientos

El equipo de seguridad de Android desea agradecer a estos investigadores por sus contribuciones:

  • Abhishek Arya, Oliver Chang y Martin Barbella del equipo de seguridad de Google Chrome: CVE-2016-0834, CVE-2016-0841, CVE-2016-0840, CVE-2016-0839, CVE-2016-0838
  • Anestis Bechtsoudis ( @anestisb ) de CENSUS SA: CVE-2016-0842, CVE-2016-0836, CVE-2016-0835
  • Brad Ebinger y Santos Cordon del equipo de Google Telecom: CVE-2016-0847
  • Dominik Schürmann del Instituto de Sistemas Operativos y Redes Informáticas , TU Braunschweig: CVE-2016-2425
  • Gengjia Chen ( @chengjia4574 ), pjf , Jianqiang Zhao ( @jianqiangzhao ) de IceSword Lab, Qihoo 360: CVE-2016-0844
  • George Piskas de la Escuela Politécnica Federal de Lausana : CVE-2016-2426
  • Guang Gong (龚广) ( @oldfresher ) de Qihoo 360 Technology Co.Ltd : CVE-2016-2412, CVE-2016-2416
  • James Forshaw de Google Project Zero: CVE-2016-2417, CVE-2016-0846
  • Jianqiang Zhao( @jianqiangzhao ), pjf y Gengjia Chen ( @chengjia4574 ) de IceSword Lab, Qihoo 360: CVE-2016-2410, CVE-2016-2411
  • Jianqiang Zhao ( @jianqiangzhao ) y pjf de IceSword Lab, Qihoo 360: CVE-2016-2409
  • Nancy Wang de Vertu Corporation LTD: CVE-2016-0837
  • Nasim Zamir : CVE-2016-2409
  • Nico Golde ( @iamnion ) de la Iniciativa de seguridad de productos de Qualcomm: CVE-2016-2420, CVE-2016-0849
  • Peter Pi ( @heisecode ) de Trend Micro: CVE-2016-2418, CVE-2016-2413, CVE-2016-2419
  • Richard Shupak: CVE-2016-2415
  • Romain Trouvé de MWR Labs : CVE-2016-0850
  • Stuart Henderson: CVE-2016-2422
  • Vishwath Mohan de Seguridad de Android: CVE-2016-2424
  • Weichao Sun ( @sunblate ) de Alibaba Inc.: CVE-2016-2414
  • Wish Wu ( @wish_wu ) de Trend Micro Inc.: CVE-2016-0843
  • Yeonjoon Lee y Xiaofeng Wang de la Universidad de Indiana en Bloomington, Tongxin Li y Xinhui Han de la Universidad de Pekín: CVE-2016-0848

El equipo de seguridad de Android también agradece a Yuan-Tsung Lo , Wenke Dou , Chiachih Wu ( @chiachih_wu ) y Xuxian Jiang del equipo C0RE y Zimperium por su contribución a CVE-2015-1805.

Detalles de vulnerabilidad de seguridad

Las secciones siguientes contienen detalles para cada una de las vulnerabilidades de seguridad que se aplican al nivel de parche 2016-04-02. Hay una descripción del problema, una justificación de la gravedad y una tabla con el CVE, el error asociado, la gravedad, las versiones afectadas y la fecha del informe. Cuando esté disponible, vincularemos la confirmación de AOSP que solucionó el problema con el ID del error. Cuando varios cambios se relacionan con un solo error, las referencias AOSP adicionales están vinculadas a números que siguen al ID del error.

Vulnerabilidad de ejecución remota de código en DHCPCD

Una vulnerabilidad en el servicio del Protocolo de configuración dinámica de host podría permitir que un atacante cause daños en la memoria, lo que podría conducir a la ejecución remota de código. Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del cliente DHCP. El servicio DHCP tiene acceso a privilegios a los que normalmente las aplicaciones de terceros no podrían acceder.

CVE Errores con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2014-6060 ANDROID-15268738 Crítico 4.4.4 30 de julio de 2014
CVE-2014-6060 ANDROID-16677003 Crítico 4.4.4 30 de julio de 2014
CVE-2016-1503 ANDROID-26461634 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 4 de enero de 2016

Vulnerabilidad de ejecución remota de código en Media Codec

Durante el procesamiento de datos y archivos multimedia de un archivo especialmente diseñado, las vulnerabilidades en un códec multimedia utilizado por el servidor multimedia podrían permitir que un atacante cause daños en la memoria y ejecución remota de código como proceso del servidor multimedia.

La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, en particular MMS y reproducción de medios en el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que las aplicaciones de terceros normalmente no podrían acceder.

CVE Bicho Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0834 ANDROID-26220548* Crítico 6.0, 6.0.1 16 de diciembre de 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de ejecución remota de código en Mediaserver

Durante el procesamiento de datos y archivos multimedia de un archivo especialmente diseñado, las vulnerabilidades en el servidor multimedia podrían permitir que un atacante cause daños en la memoria y ejecución remota de código durante el proceso del servidor multimedia.

La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, en particular MMS y reproducción de medios en el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que las aplicaciones de terceros normalmente no podrían acceder.

CVE Errores con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0835 ANDROID-26070014 [ 2 ] Crítico 6.0, 6.0.1 6 de diciembre de 2015
CVE-2016-0836 ANDROID-25812590 Crítico 6.0, 6.0.1 19 de noviembre de 2015
CVE-2016-0837 ANDROID-27208621 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 11 de febrero de 2016
CVE-2016-0838 ANDROID-26366256 [ 2 ] Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno de Google
CVE-2016-0839 ANDROID-25753245 Crítico 6.0, 6.0.1 Interno de Google
CVE-2016-0840 ANDROID-26399350 Crítico 6.0, 6.0.1 Interno de Google
CVE-2016-0841 ANDROID-26040840 Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno de Google

Vulnerabilidad de ejecución remota de código en libstagefright

Durante el procesamiento de datos y archivos multimedia de un archivo especialmente diseñado, las vulnerabilidades en libstagefright podrían permitir que un atacante cause daños en la memoria y ejecución remota de código como proceso del servidor multimedia.

La funcionalidad afectada se proporciona como una parte central del sistema operativo, y existen múltiples aplicaciones que permiten acceder a ella con contenido remoto, en particular MMS y reproducción de medios en el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código dentro del contexto del servicio de servidor de medios. El servicio de servidor de medios tiene acceso a transmisiones de audio y video, así como acceso a privilegios a los que las aplicaciones de terceros normalmente no podrían acceder.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0842 ANDROID-25818142 Crítico 6.0, 6.0.1 23 de noviembre de 2015

Vulnerabilidad de elevación de privilegios en el kernel

Una vulnerabilidad de elevación de privilegios en el kernel podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se comprometa permanentemente el dispositivo local, y es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo. Este problema se describió en el Aviso de seguridad de Android 2016-03-18 .

CVE Bicho Gravedad Versiones actualizadas Fecha reportada
CVE-2015-1805 ANDROID-27275324* Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de febrero de 2016

* El parche en AOSP está disponible para versiones específicas del kernel: 3.14 , 3.10 y 3.4 .

Vulnerabilidad de elevación de privilegios en el módulo de rendimiento de Qualcomm

Una vulnerabilidad de elevación de privilegios en el componente de gestión de eventos de rendimiento para procesadores ARM de Qualcomm podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se comprometa permanentemente el dispositivo local, y es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo.

CVE Bicho Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0843 ANDROID-25801197* Crítico 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 19 de noviembre de 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en el componente RF de Qualcomm

Existe una vulnerabilidad en el controlador RF de Qualcomm que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se comprometa permanentemente el dispositivo local, y es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0844 ANDROID-26324307 * Crítico 6.0, 6.0.1 25 de diciembre de 2015

* Hay un parche adicional para este problema ubicado en la versión anterior de Linux .

Vulnerabilidad de elevación de privilegios en el kernel

Una vulnerabilidad de elevación de privilegios en el kernel común podría permitir que una aplicación maliciosa local ejecute código arbitrario en el kernel. Este problema se clasifica como de gravedad crítica debido a la posibilidad de que se comprometa permanentemente el dispositivo local y es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2014-9322 ANDROID-26927260 [ 2 ] [ 3 ]
[ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ]
Crítico 6.0, 6.0.1 25 de diciembre de 2015

Vulnerabilidad de elevación de privilegios en la interfaz nativa de IMemory

Una vulnerabilidad de elevación de privilegios en la interfaz nativa de IMemory podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación del sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de firma o firma o sistema , a los que no puede acceder una aplicación de terceros.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0846 ANDROID-26877992 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 29 de enero de 2016

Vulnerabilidad de elevación de privilegios en el componente de telecomunicaciones

Una vulnerabilidad de elevación de privilegios en el componente de telecomunicaciones podría permitir a un atacante hacer que las llamadas parezcan provenir de cualquier número arbitrario. Este problema se clasifica como de gravedad alta porque podría usarse para obtener acceso local a capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0847 ANDROID-26864502 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 Interno de Google

Vulnerabilidad de elevación de privilegios en el Administrador de descargas

Una vulnerabilidad de elevación de privilegios en el Administrador de descargas podría permitir a un atacante obtener acceso a archivos no autorizados en un almacenamiento privado. Este problema se clasifica como de gravedad alta porque podría usarse para obtener acceso local a capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no puede acceder una aplicación de terceros.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0848 ANDROID-26211054 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 14 de diciembre de 2015

Vulnerabilidad de elevación de privilegios en el procedimiento de recuperación

Una vulnerabilidad de elevación de privilegios en el procedimiento de recuperación podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación del sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de firma o firma o sistema , a los que no puede acceder una aplicación de terceros.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0849 ANDROID-26960931 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de febrero de 2016

Vulnerabilidad de elevación de privilegios en Bluetooth

Una vulnerabilidad de elevación de privilegios en Bluetooth podría permitir que un dispositivo que no es de confianza se empareje con el teléfono durante el proceso de emparejamiento inicial. Esto podría provocar un acceso no autorizado a los recursos del dispositivo, como por ejemplo la conexión a Internet. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas a las que no pueden acceder dispositivos que no son de confianza.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-0850 ANDROID-26551752 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 13 de enero de 2016

Vulnerabilidad de elevación de privilegios en el controlador háptico de Texas Instruments

Existe una vulnerabilidad de elevación de privilegios en un controlador háptico del kernel de Texas Instruments que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Normalmente, un error de ejecución del código del kernel como este se calificaría como Crítico, pero debido a que primero requiere comprometer un servicio que puede llamar al controlador, se califica como de gravedad Alta.

CVE Bicho Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2409 ANDROID-25981545* Alto 6.0, 6.0.1 25 de diciembre de 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en el controlador Qualcomm Video Kernel

Existe una vulnerabilidad de elevación de privilegios en un controlador de kernel de video de Qualcomm que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Normalmente, una vulnerabilidad de ejecución de código del kernel se calificaría como crítica, pero debido a que primero requiere comprometer un servicio que puede llamar al controlador, se califica como de gravedad alta.

CVE Bicho Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2410 ANDROID-26291677* Alto 6.0, 6.0.1 21 de diciembre de 2015

* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en el componente Qualcomm Power Management

Existe una vulnerabilidad de elevación de privilegios en un controlador del kernel de Qualcomm Power Management que podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto del kernel. Normalmente, un error de ejecución del código del kernel como este se calificaría como Crítico, pero debido a que primero requiere comprometer el dispositivo y elevarlo a la raíz, se califica como de gravedad Alta.

CVE Bicho Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2411 ANDROID-26866053* Alto 6.0, 6.0.1 28 de enero de 2016

* El parche para este problema no está en AOSP. La actualización está contenida en los controladores binarios más recientes para dispositivos Nexus disponibles en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en System_server

Una vulnerabilidad de elevación de privilegios en System_server podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación de sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de firma o firma o sistema , a los que no puede acceder una aplicación de terceros.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2412 ANDROID-26593930 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 15 de enero de 2016

Vulnerabilidad de elevación de privilegios en Mediaserver

Una vulnerabilidad de elevación de privilegios en el servidor de medios podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación del sistema elevada. Este problema se clasifica como de gravedad alta porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de firma o firma o sistema , a los que no puede acceder una aplicación de terceros.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2413 ANDROID-26403627 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 5 de enero de 2016

Vulnerabilidad de denegación de servicio en Minikin

Una vulnerabilidad de denegación de servicio en la biblioteca Minikin podría permitir a un atacante local bloquear temporalmente el acceso a un dispositivo afectado. Un atacante podría provocar que se cargara una fuente que no es de confianza y provocar un desbordamiento en el componente Minikin, lo que provocaría un bloqueo. Esto se considera de gravedad alta porque la denegación de servicio provocaría un ciclo de reinicio continuo.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2414 ANDROID-26413177 [ 2 ] Alto 5.0.2, 5.1.1, 6.0, 6.0.1 3 de noviembre de 2015

Vulnerabilidad de divulgación de información en Exchange ActiveSync

Una vulnerabilidad de divulgación de información en Exchange ActiveSync podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema se clasifica como de gravedad alta porque permite el acceso remoto a datos protegidos.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2415 ANDROID-26488455 Alto 5.0.2, 5.1.1, 6.0, 6.0.1 11 de enero de 2016

Vulnerabilidad de divulgación de información en Mediaserver

Una vulnerabilidad de divulgación de información en Mediaserver podría permitir eludir las medidas de seguridad implementadas para aumentar la dificultad de los atacantes para explotar la plataforma. Estos problemas se clasifican como de gravedad alta porque también podrían usarse para obtener capacidades elevadas, como privilegios de permisos Signature o SignatureOrSystem , a los que no pueden acceder aplicaciones de terceros.

CVE Errores con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2416 ANDROID-27046057 [ 2 ] Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de febrero de 2016
CVE-2016-2417 ANDROID-26914474 Alto 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 1 de febrero de 2016
CVE-2016-2418 ANDROID-26324358 Alto 6.0, 6.0.1 24 de diciembre de 2015
CVE-2016-2419 ANDROID-26323455 Alto 6.0, 6.0.1 24 de diciembre de 2015

Vulnerabilidad de elevación de privilegios en el componente depurado

Una vulnerabilidad de elevación de privilegios en el componente Debuggerd podría permitir que una aplicación maliciosa local ejecute código arbitrario que podría comprometer permanentemente el dispositivo. Como resultado, es posible que sea necesario reparar el dispositivo volviendo a actualizar el sistema operativo. Normalmente, un error de ejecución de código como este se calificaría como Crítico, pero debido a que permite una elevación de privilegios del sistema a la raíz solo en la versión 4.4.4 de Android, se califica como Moderado. En las versiones de Android 5.0 y superiores, las reglas de SELinux impiden que aplicaciones de terceros lleguen al código afectado.

CVE Error con enlaces AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2420 ANDROID-26403620 [ 2 ] Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 5 de enero de 2016

Vulnerabilidad de elevación de privilegios en el asistente de configuración

Una vulnerabilidad en el asistente de configuración podría permitir a un atacante eludir la protección de restablecimiento de fábrica y obtener acceso al dispositivo. Esto se clasifica como de gravedad moderada porque potencialmente permite que alguien con acceso físico a un dispositivo omita la protección de restablecimiento de fábrica, lo que permitiría a un atacante restablecer con éxito un dispositivo y borrar todos los datos.

CVE Bicho Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2421 ANDROID-26154410* Moderado 5.1.1, 6.0, 6.0.1 Interno de Google

* El parche para este problema no está en AOSP. La actualización está contenida en la última versión binaria para dispositivos Nexus disponible en el sitio para desarrolladores de Google .

Vulnerabilidad de elevación de privilegios en Wi-Fi

Una vulnerabilidad de elevación de privilegios en Wi-Fi podría permitir que una aplicación maliciosa local ejecute código arbitrario dentro del contexto de una aplicación del sistema elevada. Este problema se clasifica como de gravedad moderada porque podría usarse para obtener capacidades elevadas, como privilegios de permisos de Firma o Firma o Sistema , a los que no puede acceder una aplicación de terceros.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2422 ANDROID-26324357 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 23 de diciembre de 2015

Vulnerabilidad de elevación de privilegios en telefonía

Una vulnerabilidad en Telefonía podría permitir a un atacante eludir la Protección de restablecimiento de fábrica y obtener acceso al dispositivo. Esto se clasifica como de gravedad moderada porque potencialmente permite que alguien con acceso físico a un dispositivo omita la protección de restablecimiento de fábrica, lo que permitiría a un atacante restablecer con éxito un dispositivo y borrar todos los datos.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2423 ANDROID-26303187 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno de Google

Vulnerabilidad de denegación de servicio en SyncStorageEngine

Una vulnerabilidad de denegación de servicio en SyncStorageEngine podría permitir que una aplicación maliciosa local provoque un bucle de reinicio. Este problema se clasifica como de gravedad moderada porque podría usarse para causar una denegación de servicio temporal local que posiblemente deba solucionarse mediante un restablecimiento de fábrica.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2424 ANDROID-26513719 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 Interno de Google

Vulnerabilidad de divulgación de información en el correo AOSP

Una vulnerabilidad de divulgación de información en AOSP Mail podría permitir que una aplicación maliciosa local obtenga acceso a la información privada de un usuario. Este problema se clasifica como de gravedad moderada porque podría utilizarse para obtener permisos "peligrosos" de forma inadecuada.

CVE Errores con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2425 ANDROID-26989185 Moderado 4.4.4, 5.1.1, 6.0, 6.0.1 29 de enero de 2016
CVE-2016-2425 ANDROID-7154234* Moderado 5.0.2 29 de enero de 2016

* El parche para este problema no está en AOSP. La actualización está contenida en la última versión binaria para dispositivos Nexus disponible en el sitio para desarrolladores de Google .

Vulnerabilidad de divulgación de información en el marco

Una vulnerabilidad de divulgación de información en el componente Framework podría permitir que una aplicación acceda a información confidencial. Este problema se clasifica como de gravedad moderada porque podría usarse para acceder incorrectamente a datos sin permiso.

CVE Error con el enlace AOSP Gravedad Versiones actualizadas Fecha reportada
CVE-2016-2426 ANDROID-26094635 Moderado 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1 8 de diciembre de 2015

Preguntas y respuestas comunes

Esta sección revisa las respuestas a preguntas comunes que pueden surgir después de leer este boletín.

1. ¿Cómo puedo determinar si mi dispositivo está actualizado para solucionar estos problemas?

Los niveles de parche de seguridad del 2 de abril de 2016 o posteriores solucionan estos problemas (consulte la documentación de Nexus para obtener instrucciones sobre cómo verificar el nivel del parche de seguridad). Los fabricantes de dispositivos que incluyen estas actualizaciones deben establecer el nivel de cadena de parche en: [ro.build.version.security_patch]:[2016-04-02]

2. ¿Por qué este parche de seguridad tiene el nivel del 2 de abril de 2016?

El nivel de parche de seguridad para la actualización de seguridad mensual normalmente se establece en el primero del mes. Para abril, un nivel de parche de seguridad del 1 de abril de 2016 indica que se han solucionado todos los problemas descritos en este boletín con la excepción de CVE-2015-1805, como se describe en el Aviso de seguridad de Android 2016-03-18 . Un nivel de parche de seguridad del 2 de abril de 2016 indica que se han solucionado todos los problemas descritos en este boletín, incluido CVE-2015-1805, como se describe en el Aviso de seguridad de Android 2016-03-18 .

Revisiones

  • 04 de abril de 2016: Boletín publicado.
  • 6 de abril de 2016: Boletín revisado para incluir enlaces AOSP.
  • 7 de abril de 2016: Boletín revisado para incluir un enlace AOSP adicional.
  • 11 de julio de 2016: descripción actualizada de CVE-2016-2427.
  • 1 de agosto de 2016: descripción actualizada de CVE-2016-2427
  • 19 de diciembre de 2016: actualizado para eliminar CVE-2016-2427, que se revirtió.