¿Cómo se desempeñó Android en el boletín de seguridad de diciembre de 2016? Afortunadamente, la plataforma esquivó la bala crítica este mes. Aun así, existen numerosas vulnerabilidades, incluidos seis problemas críticos de boletines anteriores, uno de los cuales está relacionado con la vulnerabilidad Dirty Cow que se encuentra en el kernel de Linux; como probablemente esperaría, Mediaserver es parte de la diversión. Vamos a sumergirnos y ver qué es qué.

VER: Google corrige la vulnerabilidad de Dirty Cow en la última actualización de seguridad de Android (ZDNet)

Índice

Comprueba tu versión de seguridad

Antes de destacar lo que se incluye en el Boletín de seguridad de Android de diciembre de 2016, siempre es bueno saber qué versión de seguridad tiene instalada su dispositivo.

De los dispositivos Android que uso regularmente, el Nexus 6 de la marca Verizon con Android 7.0 tiene dos actualizaciones atrasadas con la actualización de seguridad de octubre de 2016 (Figura A), y mi OnePlus 3 ahora es compatible con la actualización de seguridad de noviembre de 2016 (Figura B). Los dispositivos Nexus, así como los nuevos teléfonos Pixel, siempre estarán por delante de la curva de parches de seguridad, y el OnePlus 3 ha sido descontinuado, por lo que las actualizaciones pueden tardar mucho más en llegar.

Figura A

Figura B

Para averiguar qué versión de seguridad está instalada en su dispositivo, abra Configuración, desplácese hacia abajo y toque Acerca del teléfono, luego busque el nivel del parche de seguridad de Android. Si ve un nivel antiguo de parche de seguridad, no se preocupe... pronto aparecerá uno nuevo en una actualización. Android 7.1.1 debería lanzarse a fines de diciembre; Supongo que los parches de seguridad deberían llegar con esta actualización.

Dicho esto, profundicemos en las novedades de diciembre.

Asuntos importantes

Vulnerabilidad de ejecución remota de código CURL/LIBCURL

Las bibliotecas CURL y LIBCURL (la herramienta de línea de comandos para transferir datos usando varios protocolos) contienen una vulnerabilidad que podría permitir un ataque de intermediario, utilizando un certificado falso, para ejecutar código arbitrario como parte de un proceso privilegiado. Debido a que el atacante necesita un certificado falsificado, esta vulnerabilidad se califica como alta.

Errores relacionados: A-31271247, A-31271247, A-31271247

Vulnerabilidad de elevación de privilegios en libziparchive

La biblioteca libziparchive incluye una vulnerabilidad de elevación de privilegios que podría permitir que una aplicación maliciosa ejecute código arbitrario en el contexto de un proceso privilegiado. Debido a la capacidad de la vulnerabilidad para obtener acceso local a funcionalidades elevadas que normalmente no son accesibles para aplicaciones de terceros, esto se califica como alto.

Error relacionado: A-31251826

Vulnerabilidad de denegación de servicio de telefonía

La posibilidad de una denegación de servicio permanente podría ocurrir debido a una vulnerabilidad encontrada en el subsistema de telefonía. Este problema podría usar un archivo malicioso para hacer que un dispositivo se congele o se reinicie automáticamente. Debido a la posibilidad de un ataque de denegación de servicio, esta vulnerabilidad se califica como alta.

Error relacionado: A-31530456

Vulnerabilidad de denegación de servicio en Mediaserver

La vulnerabilidad que sigue dando, Mediaserver está de vuelta con una serie de errores que pueden causar un problema de denegación de servicio. La vulnerabilidad podría permitir que un atacante use un archivo malicioso para hacer que un dispositivo se bloquee o se reinicie. Debido a la posibilidad de un ataque de denegación de servicio, esta vulnerabilidad se califica como alta. Notar: Los dispositivos de Google con Android 7 no se ven afectados por este problema.

Errores relacionados: A-31318219, A-31449945, A-31681434, A-31833604

Vulnerabilidad de ejecución remota de código en la biblioteca Framesequence

La biblioteca Framesequence contiene una vulnerabilidad que puede permitir que un atacante, usando un archivo malicioso, ejecute código arbitrario como parte de un proceso sin privilegios. Debido a la posibilidad de ejecución remota de código, este problema tiene una calificación alta.

Error relacionado: A-31631842

Problemas moderados

Vulnerabilidad de elevación de privilegios de Smart Lock

El sistema Android Smart Lock contiene una vulnerabilidad de elevación de privilegios que podría permitir a un usuario acceder a la configuración de funciones sin usar un PIN. Debido al requisito del atacante de tener acceso físico al dispositivo, este problema se califica como moderado.

Error relacionado: A-29055171

Vulnerabilidad de elevación de privilegios de Framework API

API Framework, que es un conjunto de API que permite a los desarrolladores escribir aplicaciones para teléfonos Android de forma rápida y sencilla, contiene una vulnerabilidad que podría permitir que una aplicación local maliciosa acceda a funciones más allá de su nivel de acceso normal. Debido a la capacidad de eludir las restricciones locales dentro de un proceso contenido, esta vulnerabilidad se clasifica como Moderada.

Error relacionado: A-30202228

Vulnerabilidad de elevación de privilegios Wi-Fi

El subsistema Wi-Fi contiene una vulnerabilidad que podría permitir que una aplicación local maliciosa ejecute código arbitrario en el contexto de un proceso privilegiado. Debido a la vulnerabilidad que requiere comprometer primero un proceso privilegiado, este problema se califica como moderado.

Error relacionado: A-31856351

Vulnerabilidad de divulgación de información del administrador de paquetes

El Administrador de paquetes de Android contiene una vulnerabilidad que podría permitir que una aplicación local malintencionada eluda las protecciones del sistema que aíslan los datos de la aplicación. Debido a la necesidad de comprometer primero un proceso privilegiado, esta vulnerabilidad se clasifica como Moderada.

Error relacionado: A-31251489

Mejora y actualiza

Los desarrolladores trabajarán diligentemente para solucionar las vulnerabilidades, pero depende de los usuarios finales asegurarse de que las soluciones lleguen a los dispositivos. Asegúrese no solo de buscar actualizaciones, sino también de aplicarlas tan pronto como estén disponibles.

Para ver la lista completa de vulnerabilidades, consulte el Boletín de seguridad de Android de diciembre.