Los éxitos siguen llegando para la plataforma Android. Anteriormente, en el boletín de seguridad de febrero de 2017, había ocho vulnerabilidades marcadas como críticas. Este mes, ese número salta a once Temas Críticos sin precedentes. Echemos un vistazo a estas fallas críticas detalladas en el Boletín de seguridad de Android de marzo de 2017.

Índice

Comprueba tu versión de seguridad

Antes de destacar lo que se incluye en el Boletín de seguridad de Android de marzo de 2017, siempre es bueno saber qué versión de seguridad está instalada en su dispositivo. De los dispositivos Android que uso regularmente, el Nexus 6 de la marca Verizon, que ejecuta Android 7.0, finalmente se ha puesto al día con el último boletín de seguridad (Figura A). Sin embargo, mi controlador diario, un OnePlus 3, todavía está atrasado con la actualización de seguridad de diciembre de 2016. Aunque el OnePlus 3 se actualizó a Nougat, el parche de seguridad aún está atrasado; Supongo que la actualización del parche de seguridad no ocurrirá hasta que el dispositivo se actualice a 7.1.1.

Figura A

cuestiones críticas

Vulnerabilidad de ejecución remota de código en OpenSSL y BoringSSL

BoringSSL no tiene nada de molesto, especialmente cuando sufre una vulnerabilidad crítica. De hecho, OpenSSL y BoringSSL contienen problemas. Esta vulnerabilidad particular de ejecución remota de código podría permitir que un atacante, utilizando un archivo creado con fines malintencionados, provoque daños en la memoria al procesar archivos y datos. Debido a la posibilidad de ejecución remota de código dentro de un proceso privilegiado, esta vulnerabilidad se marca como crítica.

Error relacionado: A-32096880

Vulnerabilidad de ejecución remota de código de Mediaserver

Hay algo de consuelo en saber que Mediaserver seguirá regresando al Security Bulletin, como un querido amigo que nunca se va. Otra vulnerabilidad de ejecución remota de código podría permitir que un atacante, utilizando un archivo creado con fines malintencionados, provoque daños en la memoria al procesar un archivo multimedia o datos relacionados con los medios. Debido a la posibilidad de ejecución remota de código en el contexto del Mediaserver, esta vulnerabilidad ha sido clasificada como crítica.

Errores relacionados: A-33139050, A-33250932, A-33351708, A-33450635, A-33818500, A-33816782, A-33862021, A-33982658, A-32589224

Vulnerabilidad de elevación de privilegios en Recovery Checker

Se ha descubierto que Recovery Checker, una nueva entrada a la escena crítica, contiene una vulnerabilidad de elevación de privilegios. La vulnerabilidad podría permitir que una aplicación maliciosa instalada localmente ejecute código arbitrario en el contexto del kernel. Debido a la posibilidad de compromiso permanente del dispositivo (que puede requerir volver a actualizar el sistema operativo), este problema se clasifica como crítico.

Error relacionado: A-31914369

Vulnerabilidad de elevación de privilegios en componentes de MediaTek

Se ha descubierto que los componentes de MediaTek (incluidos los controladores M4U, audio, pantalla táctil, GPU y Command Queue) contienen una vulnerabilidad de elevación de privilegios. Esta falla podría permitir que una aplicación local maliciosa ejecute código arbitrario en el contexto del kernel. Debido a la posibilidad de compromiso permanente del dispositivo (que puede requerir una actualización del sistema operativo), esta vulnerabilidad se ha marcado como crítica.

Errores relacionados: A-28429685, M-ALPS02710006, A-28430015, M-ALPS02708983, A-28430164, M-ALPS02710027, A-28449045, M-ALPS02710075, A-30074628, M-ALPS0282973024, A39-3024, A39-3024 , A-32276718, M-ALPS03006904

NOTA: La solución para los errores A* no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Vulnerabilidad de elevación de privilegios del controlador NVIDIA GPU

Se ha descubierto que el controlador NVIDIA GPU contiene una vulnerabilidad de elevación de privilegios. Esta falla podría permitir que una aplicación local maliciosa ejecute código arbitrario en el contexto del kernel. Debido a la posibilidad de compromiso permanente del dispositivo (que podría requerir volver a actualizar el sistema operativo), esta vulnerabilidad se ha marcado como crítica.

Errores relacionados: A-31992762, N-CVE-2017-0337, A-33057977, N-CVE-2017-0338, A-33899363, N-CVE-2017-0333, A-34132950, ​​N-CVE-2017 -0306, A-33043375, N-CVE-2017-0335

NOTA: La solución para los errores A* no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Vulnerabilidad de elevación de privilegios del subsistema Kernel ION

Se ha descubierto que ION Memory Allocator contiene una vulnerabilidad de elevación de privilegios. Esta vulnerabilidad del kernel podría permitir que una aplicación maliciosa local ejecute código malicioso arbitrario en el contexto del kernel. Debido a la posibilidad de compromiso permanente del dispositivo (que puede requerir volver a actualizar el sistema operativo), esta falla se ha marcado como crítica.

Errores relacionados: A-31992382, A-33940449

NOTA: La solución para los errores A* no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Vulnerabilidad de elevación de privilegios del controlador Wi-Fi de Broadcom

Se ha descubierto que el controlador Wi-Fi de Broadcom contiene una vulnerabilidad de elevación de privilegios. La vulnerabilidad podría permitir que una aplicación local maliciosa ejecute código arbitrario en el contexto del kernel. Debido a la posibilidad de compromiso permanente del dispositivo (que puede requerir volver a actualizar el sistema operativo), esta falla se ha marcado como crítica.

Errores relacionados: A-32124445, B-RB#110688

NOTA: La solución para los errores A* no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Vulnerabilidad de elevación de privilegios del depurador de Kernel FIQ

El depurador de solicitud de interrupción rápida (FIQ) del kernel contiene una vulnerabilidad de elevación de privilegios. La vulnerabilidad podría permitir que una aplicación local maliciosa ejecute código arbitrario en el contexto del kernel. Debido a la posibilidad de compromiso permanente del dispositivo (que puede requerir volver a actualizar el sistema operativo), esta falla se ha marcado como crítica.

Error relacionado: A-32402555

NOTA: La solución para los errores A* no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Vulnerabilidad de elevación de privilegios del controlador de GPU de Qualcomm

El controlador de GPU de Qualcomm contiene una vulnerabilidad de elevación de privilegios. La vulnerabilidad podría permitir que una aplicación local maliciosa ejecute código arbitrario en el contexto del kernel. Debido a la posibilidad de compromiso permanente del dispositivo (que puede requerir volver a actualizar el sistema operativo), esta falla se ha marcado como crítica.

Errores relacionados: A-31824853, QC-CR#1093687

NOTA: La solución para los errores A* no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Vulnerabilidad de elevación de privilegios del subsistema de la red del kernel

Incluso el subsistema de red del kernel no es inmune a las vulnerabilidades de elevación de privilegios. Como muchas otras vulnerabilidades críticas, la falla en el subsistema de red del kernel podría permitir que una aplicación local maliciosa ejecute código arbitrario en el contexto del kernel. Debido a la posibilidad de compromiso permanente del dispositivo (que puede requerir volver a actualizar el sistema operativo), esta falla se ha marcado como crítica.

Errores relacionados: A-33393474, A-33753815

Vulnerabilidades críticas en componentes de Qualcomm

La vulnerabilidad del componente Qualcomm está de regreso por otro mes, pero esta vez con algunos errores más. Se ha descubierto que muchos componentes de Qualcomm contienen vulnerabilidades críticas y Qualcomm ha determinado que son críticos. Desafortunadamente, Qualcomm solo comparte información sobre estas fallas con los clientes.

Errores relacionados: A-28823575, A-28823681, A-28823691, A-28823724, A-31625756

Tenga en cuenta que cualquier dispositivo que ejecute Android 7.0 es inmune a estos problemas y que la solución para los errores A* no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Mejora y actualiza

Los desarrolladores trabajarán diligentemente para solucionar las vulnerabilidades, pero depende de los usuarios finales asegurarse de que las soluciones lleguen a los dispositivos. Asegúrese no solo de buscar actualizaciones, sino también de aplicarlas tan pronto como estén disponibles. Para ver la lista completa de vulnerabilidades (que incluye varios problemas altos y moderados), consulte el Boletín de seguridad de Android de marzo de 2017.