Boletín de seguridad de Nexus: agosto de 2015

Publicado el 13 de agosto de 2015

Hemos lanzado una actualización de seguridad para los dispositivos Nexus a través de una actualización inalámbrica (OTA) como parte de nuestro proceso de publicación mensual del boletín de seguridad de Android. Las imágenes del firmware de Nexus también se han publicado en el sitio de desarrolladores de Google . Las compilaciones LMY48I o posteriores abordan estos problemas. Se notificó a los socios sobre estos problemas el 25 de junio de 2015 o antes.

El más grave de estos problemas es una vulnerabilidad de seguridad crítica que podría permitir la ejecución remota de código en un dispositivo afectado a través de múltiples métodos, como correo electrónico, navegación web y MMS al procesar archivos multimedia. La evaluación de la gravedad se basa en el efecto que podría tener la explotación de la vulnerabilidad en un dispositivo afectado, suponiendo que las mitigaciones de la plataforma y el servicio estén deshabilitadas para fines de desarrollo o si se eluden con éxito.

Mitigaciones

Este es un resumen de las mitigaciones proporcionadas por la plataforma de seguridad de Android y las protecciones de servicios como SafetyNet. Estas capacidades reducen la probabilidad de que las vulnerabilidades de seguridad puedan explotarse con éxito en Android.

  • La explotación de muchos problemas en Android se hace más difícil debido a las mejoras en las versiones más recientes de la plataforma Android. Alentamos a todos los usuarios a actualizar a la última versión de Android siempre que sea posible.
  • El equipo de seguridad de Android está monitoreando activamente el abuso con Verify Apps y SafetyNet, que advertirá sobre aplicaciones potencialmente dañinas que están a punto de instalarse. Las herramientas de rooteo de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones desde fuera de Google Play, Verificar aplicaciones está habilitado de forma predeterminada y advertirá a los usuarios sobre aplicaciones de enraizamiento conocidas. Verificar aplicaciones intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que explotan una vulnerabilidad de escalada de privilegios. Si ya se instaló dicha aplicación, Verify Apps notificará al usuario e intentará eliminar dichas aplicaciones.
  • Según corresponda, Google actualizó las aplicaciones Hangouts y Messenger para que los medios no pasen automáticamente a procesos vulnerables (como el servidor de medios).

Agradecimientos

Nos gustaría agradecer a estos investigadores por sus contribuciones:

  • Josué Drake: CVE-2015-1538, CVE-2015-3826
  • Ben Hawkes: CVE-2015-3836
  • Alejandro Blanda: CVE-2015-3832
  • Michał Bednarski: CVE-2015-3831, CVE-2015-3844, CVE-2015-1541
  • Alex Copot: CVE-2015-1536
  • Alex Eubanks: CVE-2015-0973
  • Roee Hay y O Peles: CVE-2015-3837
  • Guan Gong: CVE-2015-3834
  • Gal Beniamini: CVE-2015-3835
  • Deseo Wu*: CVE-2015-3842
  • Artem Chaykin: CVE-2015-3843

* ¡Wish también es nuestro primer receptor de Android Security Rewards !

Desbordamiento de enteros durante el procesamiento de átomos MP4

Hay varios posibles desbordamientos de enteros en libstagefright que podrían ocurrir durante el procesamiento del átomo MP4, lo que provocaría daños en la memoria y una posible ejecución remota de código como proceso del servidor de medios.

La funcionalidad afectada se proporciona como una API de aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código como el servicio de servidor de medios privilegiado. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder. Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad alta y se informó a los socios como tal. Según nuestras nuevas pautas, publicadas en junio de 2015, es un problema de gravedad crítica.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-1538 ANDROID-20139950 [ 2 ] Crítico 5.1 y por debajo

Un subdesbordamiento de enteros en el procesamiento de ESDS

Existe un posible subdesbordamiento de enteros en libstagefright que podría ocurrir durante el procesamiento del átomo ESDS, lo que provocaría daños en la memoria y una posible ejecución remota de código como el proceso del servidor de medios.

La funcionalidad afectada se proporciona como una API de aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código como el servicio de servidor de medios privilegiado. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder. Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad alta y se informó a los socios como tal. Según nuestras nuevas pautas, publicadas en junio de 2015, es un problema de gravedad crítica.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-1539 ANDROID-20139950 Crítico 5.1 y por debajo

Desbordamiento de enteros en libstagefright al analizar el átomo MPEG4 tx3g

Existe un posible desbordamiento de enteros en libstagefright que podría ocurrir durante el procesamiento de datos MPEG4 tx3g, lo que provocaría daños en la memoria y una posible ejecución remota de código como proceso del servidor de medios.

La funcionalidad afectada se proporciona como una API de aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código como el servicio de servidor de medios privilegiado. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder.

Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad alta y se informó a los socios como tal. Según nuestras nuevas pautas, publicadas en junio de 2015, es un problema de gravedad crítica.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3824 ANDROID-20923261 Crítico 5.1 y por debajo

Subdesbordamiento de enteros en libstagefright al procesar átomos MPEG4 covr

Existe un posible subdesbordamiento de enteros en libstagefright que podría ocurrir durante el procesamiento de datos MPEG4, lo que provocaría daños en la memoria y una posible ejecución remota de código como proceso del servidor de medios.

La funcionalidad afectada se proporciona como una API de aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código como el servicio de servidor de medios privilegiado. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder.

Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad alta y se informó a los socios como tal. Según nuestras nuevas pautas, publicadas en junio de 2015, es un problema de gravedad crítica.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3827 ANDROID-20923261 Crítico 5.1 y por debajo

Subdesbordamiento de enteros en libstagefright si el tamaño es inferior a 6 al procesar metadatos 3GPP

Existe un posible subdesbordamiento de enteros en libstagefright que podría ocurrir durante el procesamiento de datos 3GPP, lo que provocaría daños en la memoria y una posible ejecución remota de código como proceso del servidor de medios.

La funcionalidad afectada se proporciona como una API de aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código como el servicio de servidor de medios privilegiado. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder. Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad alta y se informó a los socios como tal. Según nuestras nuevas pautas, publicadas en junio de 2015, es un problema de gravedad crítica.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3828 ANDROID-20923261 Crítico 5.0 y superior

Desbordamiento de enteros en libstagefright procesando MPEG4 covr atoms cuando chunk_data_size es SIZE_MAX

Existe un posible desbordamiento de enteros en libstagefright que podría ocurrir durante el procesamiento de datos MPEG4 covr, lo que provocaría daños en la memoria y una posible ejecución remota de código como proceso del servidor de medios.

La funcionalidad afectada se proporciona como una API de aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código como el servicio de servidor de medios privilegiado. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder. Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad alta y se informó a los socios como tal. Según nuestras nuevas pautas, publicadas en junio de 2015, es un problema de gravedad crítica.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3829 ANDROID-20923261 Crítico 5.0 y superior

Desbordamiento de búfer en Sonivox Parse_wave

Existe un posible desbordamiento de búfer en Sonivox que podría ocurrir durante el procesamiento de datos XMF, lo que provocaría daños en la memoria y una posible ejecución remota de código como proceso del servidor de medios.

La funcionalidad afectada se proporciona como una API de aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código como el servicio de servidor de medios privilegiado. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder. Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad alta y se informó a los socios como tal. Según nuestras nuevas pautas, publicadas en junio de 2015, es un problema de gravedad crítica.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3836 ANDROID-21132860 Crítico 5.1 y por debajo

Desbordamientos de búfer en libstagefright MPEG4Extractor.cpp

Hay varios desbordamientos de búfer en libstagefright que pueden ocurrir durante el procesamiento de MP4, lo que lleva a la corrupción de la memoria y potencialmente a la ejecución remota de código como el proceso del servidor de medios.

La funcionalidad afectada se proporciona como una API de aplicación y hay varias aplicaciones que permiten acceder a ella con contenido remoto, sobre todo MMS y reproducción de medios mediante el navegador.

Este problema se clasifica como de gravedad crítica debido a la posibilidad de ejecución remota de código como el servicio de servidor de medios privilegiado. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder.

Inicialmente, este problema se informó como un exploit local (no accesible de forma remota). Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad moderada y se informó a los socios como tal. Según nuestras nuevas pautas, publicadas en junio de 2015, es un problema de gravedad crítica.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3832 ANDROID-19641538 Crítico 5.1 y por debajo

Desbordamiento de búfer en mediaserver BpMediaHTTPConnection

Existe un posible desbordamiento de búfer en BpMediaHTTPConnection cuando se procesan datos proporcionados por otra aplicación, lo que provoca daños en la memoria y, potencialmente, la ejecución del código como proceso del servidor de medios.

La funcionalidad afectada se proporciona como una API de aplicación. No creemos que el problema sea remotamente explotable.

Este problema se clasifica como de gravedad alta debido a la posibilidad de ejecución de código como el servicio de servidor de medios privilegiado, desde una aplicación local. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3831 ANDROID-19400722 Alto 5.0 y 5.1

Vulnerabilidad en libpng: desbordamiento en png_Read_IDAT_data

Existe un posible desbordamiento de búfer que podría ocurrir al leer datos IDAT dentro de la función png_read_IDAT_data() en libpng, lo que provocaría daños en la memoria y una posible ejecución remota de código dentro de una aplicación que utilice este método.

La funcionalidad afectada se proporciona como una API de aplicación. Puede haber aplicaciones que permitan acceder a él con contenido remoto, sobre todo aplicaciones de mensajería y navegadores.

Este problema se clasifica como de gravedad alta debido a la posibilidad de ejecución remota de código como una aplicación sin privilegios.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-0973 ANDROID-19499430 Alto 5.1 y por debajo

Desbordamiento de memcpy() explotable remotamente en p2p_add_device() en wpa_supplicant

Cuando wpa_supplicant funciona en modo WLAN Direct, es vulnerable a una posible ejecución remota de código debido a un desbordamiento en el método p2p_add_device(). La explotación exitosa podría resultar en la ejecución de código como el usuario 'wifi' en Android.

Hay varias mitigaciones que pueden afectar la explotación exitosa de este problema:

- WLAN Direct no está habilitado de forma predeterminada en la mayoría de los dispositivos Android

- La explotación requiere que un atacante esté localmente próximo (dentro del alcance de WiFi)

- El proceso wpa_supplicant se ejecuta como el usuario 'wifi' que tiene acceso limitado al sistema

- ASLR mitiga la explotación remota en dispositivos Android 4.1 y posteriores.

- El proceso wpa_supplicant está estrictamente restringido por la política de SELinux en Android 5.0 y superior

Este problema se clasifica como de gravedad alta debido a la posibilidad de ejecución remota de código. Si bien el servicio 'wifi' tiene capacidades que normalmente no son accesibles para aplicaciones de terceros que podrían calificar esto como Crítico, creemos que las capacidades limitadas y el nivel de mitigación justifican la disminución de la gravedad a Alta.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-1863 ANDROID-20076874 Alto 5.1 y por debajo

Daños en la memoria en la deserialización de OpenSSLX509Certificate

Una aplicación local malintencionada puede enviar un Intent que, cuando la aplicación receptora lo deserializa, puede disminuir un valor en una dirección de memoria arbitraria, lo que provoca la corrupción de la memoria y, potencialmente, la ejecución de código dentro de la aplicación receptora.

Este problema se clasifica como de gravedad alta porque se puede utilizar para obtener privilegios a los que no puede acceder una aplicación de terceros.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3837 ANDROID-21437603 Alto 5.1 y por debajo

Desbordamiento de búfer en mediaserver BnHDCP

Existe un posible desbordamiento de enteros en libstagefright cuando se procesan los datos proporcionados por otra aplicación, lo que conduce a la corrupción de la memoria (montón) y potencialmente a la ejecución del código como el proceso del servidor de medios.

Este problema se clasifica como de gravedad alta porque se puede utilizar para obtener privilegios a los que no puede acceder una aplicación de terceros. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder.

Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad moderada y se informó a los socios como tal. Según nuestras nuevas directrices, publicadas en junio de 2015, se trata de una vulnerabilidad de gravedad alta.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3834 ANDROID-20222489 Alto 5.1 y por debajo

Desbordamiento de búfer en libstagefright OMXNodeInstance::emptyBuffer

Existe un posible desbordamiento del búfer en libstagefright cuando se procesan los datos proporcionados por otra aplicación, lo que conduce a la corrupción de la memoria y potencialmente a la ejecución del código como proceso del servidor de medios.

Este problema se clasifica como de gravedad alta porque se puede utilizar para obtener privilegios a los que no puede acceder una aplicación de terceros. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder.

Tenga en cuenta que, según nuestras pautas de calificación de gravedad anteriores, esto se calificó como una vulnerabilidad de gravedad moderada y se informó a los socios como tal. Según nuestras nuevas directrices, publicadas en junio de 2015, se trata de una vulnerabilidad de gravedad alta.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3835 ANDROID-20634516 [ 2 ] Alto 5.1 y por debajo

Desbordamiento de montón en el servidor multimedia AudioPolicyManager::getInputForAttr()

Hay un desbordamiento de pila en el servicio de política de audio de mediaserver que podría permitir que una aplicación local ejecute código arbitrario en el proceso de mediaserver.

La funcionalidad afectada se proporciona como una API de aplicación. No creemos que el problema sea remotamente explotable.

Este problema se clasifica como de gravedad alta debido a la posibilidad de ejecución de código como el servicio de servidor de medios privilegiado, desde una aplicación local. Si bien mediaserver está protegido con SELinux, tiene acceso a flujos de audio y video, así como acceso a nodos de dispositivos de controladores de kernel privilegiados en muchos dispositivos a los que las aplicaciones de terceros normalmente no pueden acceder.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3842 ANDROID-21953516 Alto 5.1 y por debajo

Las aplicaciones pueden interceptar o emular comandos SIM a Telefonía

Existe una vulnerabilidad en el marco del SIM Toolkit (STK) que podría permitir que las aplicaciones interceptaran o emularan ciertos comandos STK SIM en el subsistema de telefonía de Android.

Este problema tiene una gravedad alta porque podría permitir que una aplicación sin privilegios acceda a capacidades o datos que normalmente están protegidos por un permiso de nivel de "firma" o "sistema".

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3843 ANDROID-21697171 [ 2 , 3 , 4 ] Alto 5.1 y por debajo

Vulnerabilidad en el desmarshalling de mapa de bits

Un desbordamiento de enteros en Bitmap_createFromParcel() podría permitir que una aplicación bloquee el proceso system_server o lea datos de memoria de system_server.

Este problema se clasifica como de gravedad moderada debido a la posibilidad de filtrar datos confidenciales del proceso system_server a un proceso local sin privilegios. Si bien este tipo de vulnerabilidad normalmente se clasificaría como de gravedad alta, la gravedad se ha reducido porque los datos que se filtran en un ataque exitoso no pueden ser controlados por el proceso atacante y la consecuencia de un ataque fallido es dejar el dispositivo temporalmente inutilizable ( requiere un reinicio).

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-1536 ANDROID-19666945 Moderado 5.1 y por debajo

AppWidgetServiceImpl puede crear IntentSender con privilegios del sistema

Existe una vulnerabilidad en AppWidgetServiceImpl en la aplicación Configuración que permite que una aplicación se otorgue un permiso de URI especificando FLAG_GRANT_READ/WRITE_URI_PERMISSION. Por ejemplo, esto podría aprovecharse para leer datos de contacto sin el permiso READ_CONTACTS.

Esto se clasifica como una vulnerabilidad de gravedad moderada porque puede permitir que una aplicación local acceda a datos normalmente protegidos por permisos con un nivel de protección "peligroso".

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-1541 ANDROID-19618745 Moderado 5.1

Omisión de mitigación de restricciones en getRecentTasks()

Una aplicación local puede determinar de manera confiable la aplicación en primer plano, eludiendo la restricción getRecentTasks() introducida en Android 5.0.

Esto se clasifica como una vulnerabilidad de gravedad moderada porque puede permitir que una aplicación local acceda a datos normalmente protegidos por permisos con un nivel de protección "peligroso".

Creemos que esta vulnerabilidad se describió públicamente por primera vez en Stack Overflow .

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3833 ANDROID-20034603 Moderado 5.0 y 5.1

ActivityManagerService.getProcessRecordLocked() puede cargar una aplicación UID del sistema en el proceso incorrecto

El método getProcessRecordLocked() de ActivityManager no verifica correctamente que el nombre del proceso de una aplicación coincida con el nombre del paquete correspondiente. En algunos casos, esto puede permitir que ActivityManager cargue el proceso incorrecto para ciertas tareas.

Las implicaciones son que una aplicación puede evitar que se cargue la configuración o inyectar parámetros para fragmentos de configuración. No creemos que esta vulnerabilidad se pueda utilizar para ejecutar código arbitrario como usuario del "sistema".

Si bien la capacidad de acceder a capacidades que normalmente solo son accesibles para el "sistema" se clasificaría como de gravedad Alta, calificamos esta como Moderada debido al nivel limitado de acceso otorgado por la vulnerabilidad.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3844 ANDROID-21669445 Moderado 5.1 y por debajo

Lectura de búfer ilimitada en libstagefright al analizar metadatos 3GPP

Un subdesbordamiento de enteros durante el análisis de datos 3GPP puede provocar que una operación de lectura desborde un búfer, lo que provoca que el servidor de medios se bloquee.

Este problema se calificó originalmente como de gravedad alta y se informó a los socios como tal, pero después de una mayor investigación se ha degradado a gravedad baja, ya que el impacto se limita a fallas en el servidor de medios.

CVE Error(es) con enlaces AOSP Gravedad Versiones afectadas
CVE-2015-3826 ANDROID-20923261 Bajo 5.0 y 5.1

Revisiones

  • 13 de agosto de 2015: Publicado originalmente