¡Y estamos de vuelta! Google ha lanzado la última actualización de seguridad de Android y, como era de esperar, hay mucho por hacer. Esta vez, Google corrigió 40 vulnerabilidades. Doce de esos 40 problemas se marcaron como críticos y dos se identificaron como vulnerabilidades de ejecución remota de código (es decir, las peores). Desafortunadamente, ambos problemas de ejecución remota de código (RCE) están en el servidor de medios de Android. Este es el mismo subsistema que ha estado plagado de problemas durante los últimos meses. Estos dos problemas de RCE no son los únicos que atormentan al servidor de medios.

Pero no perdamos el tiempo con presentaciones. Vayamos directamente a las vulnerabilidades. Como de costumbre, puede obtener explicaciones completas de todos los problemas en la página oficial de actualizaciones de seguridad. Echemos un vistazo a los momentos destacados de mayo.

Índice

Vulnerabilidad de ejecución remota de código de Mediaserver

Crítico. Hay dos errores 26751339 y 27211885, los cuales pueden provocar la ejecución remota de código en un dispositivo afectado. De estas vulnerabilidades, Google dice:

Al procesar un archivo multimedia y datos de archivos especialmente diseñados, una vulnerabilidad en Media Server podría permitir que un atacante provoque daños en la memoria y la ejecución remota de código como un servidor procesa multimedia.

Vulnerabilidad de elevación de privilegios en el controlador Wi-Fi de Qualcomm

Crítico. Otros dos errores encontrados en el controlador Wi-Fi de Qualcomm podrían permitir que una aplicación maliciosa ejecute código arbitrario en el contexto del kernel. Estos dos problemas (26754117 y 26764809) se informaron por primera vez en enero de 2016.

Vulnerabilidad de elevación de privilegios del controlador de video NVIDIA

Crítico. Cuatro problemas (27251090, 27297988, 27299111, 27436822) afectan al Nexus 9, todos relacionados con el controlador de video NVIDIA y catalogados como críticos debido a la posibilidad de ejecutar código arbitrario en el contexto del kernel. Si un dispositivo se viera afectado por estos problemas, la única solución sería una actualización del sistema operativo.

Vulnerabilidad de elevación de privilegios del kernel

Crítico. Otro problema en el que las aplicaciones maliciosas podrían ejecutar código arbitrario en el núcleo ha vuelto de la tumba. Descrito originalmente en el informe de seguridad de marzo de 2016, el error 27275324 se solucionó inicialmente en el kernel de Linux ascendente en junio de 2015. Este es otro problema que requeriría una actualización del sistema operativo si su dispositivo se viera afectado.

Vulnerabilidad de ejecución remota de código del kernel

Alto. El error 26636060 afecta el subsistema de audio y podría permitir que una aplicación maliciosa local ejecute código arbitrario en el contexto del kernel. Si bien las vulnerabilidades de ejecución remota de código suelen calificarse como "críticas", este error cae en la calificación "alta" porque primero debe comprometer un servicio privilegiado para invocar el subsistema de audio.

Vulnerabilidad de divulgación de información del controlador de anclaje de Qualcomm

Alto. El error 27942588 se clasifica como elevado porque se puede usar para obtener capacidades elevadas de Signature y SignatureOrSystem, a través de los privilegios del sistema. Dado que estos no son accesibles para aplicaciones de terceros, solo se califican como altos.

Vulnerabilidad de ejecución remota de código de Bluetooth

Alto. El error 27411268 es un problema bastante crucial para abordar, ya que podría permitir que un ataque de proximidad ejecute código arbitrario durante el proceso de emparejamiento de Bluetooth. Este error afecta a todos los dispositivos Nexus y se informó originalmente el 28 de febrero de 2016.

Vulnerabilidad de elevación de privilegios Wi-Fi

Alto. El error 27371366 puede hacer que se generen saltos de línea al escribir en el archivo de configuración de Wi-Fi, lo que puede provocar la corrupción de la configuración de wpa_supplicant. Este error afecta a todos los dispositivos Nexus y se informó por primera vez el 24 de febrero de 2016.

Vulnerabilidad de elevación de privilegios de Mediaserver

Alto. Los errores 27533704, 27568958, 27569635, 27597103 y 27662364 afectan a Media Server y podrían permitir que las aplicaciones maliciosas locales ejecuten código arbitrario en el contexto del kernel. La única razón por la que estos errores se clasifican como elevados es porque necesitan adquirir capacidades elevadas de los permisos, a los que no pueden acceder las aplicaciones de terceros. Esto, sin embargo, continúa destacando la debilidad del subsistema del servidor de medios de Android.

Vulnerabilidad de elevación de privilegios de Conscrypt

Moderado. El error 27449871 es una vulnerabilidad en OpenSSL y BoringSSL que podría permitir que una aplicación local maliciosa acceda a datos más allá de sus niveles de permiso. Esto normalmente debería tener una calificación alta, pero dado que debe requerir una configuración manual bastante rara, tiene una calificación más baja.

Comprueba tu nivel de parche

Si tiene curiosidad acerca del nivel de parche en el que se encuentra actualmente su dispositivo, vaya a Configuración | Acerca del teléfono y vea la entrada Nivel de parche de seguridad (Figura A). Al momento de escribir este artículo (10 de mayo de 2016), el parche de seguridad de mayo aún no ha llegado a los dispositivos Nexus (lo que significa que tampoco habrá afectado a otros dispositivos).

Figura A

El nivel del parche de seguridad en un Nexus 6 de la marca Verizon.

Siga revisando su dispositivo en busca de actualizaciones y tan pronto como haya una disponible... aplíquela. Sin embargo, normalmente, los parches de seguridad se instalan automáticamente.