Tabla de contenido:
Google ha publicado los detalles que rodean el parche de seguridad del 2 de abril para Android, mitigando completamente los problemas descritos en un boletín hace varias semanas, así como una gran cantidad de problemas críticos y moderados. Este es un poco diferente de los boletines anteriores, con especial atención a la vulnerabilidad de escalada de privilegios en las versiones 3.4, 3.10 y 3.14 del kernel de Linux utilizado en Android. Lo discutiremos más adelante en la página. Mientras tanto, aquí está el desglose de lo que necesita saber sobre el parche de este mes.
Las imágenes de firmware actualizadas ahora están disponibles para los dispositivos Nexus actualmente compatibles en el sitio para desarrolladores de Google. El proyecto de código abierto de Android ahora tiene estos cambios en las sucursales relevantes, y todo se completará y sincronizará en 48 horas. Se están realizando actualizaciones inalámbricas para los teléfonos y tabletas Nexus compatibles actualmente, y seguirán el procedimiento estándar de implementación de Google: puede llevar una o dos semanas llegar a su Nexus. Todos los socios, es decir, las personas que construyeron su teléfono, independientemente de la marca, han tenido acceso a estas correcciones a partir del 16 de marzo de 2016, y anunciarán y aplicarán parches a sus dispositivos en sus propios horarios.
El problema más grave abordado es una vulnerabilidad que podría permitir la ejecución remota de código al procesar archivos multimedia. Estos archivos se pueden enviar a su teléfono por cualquier medio: correo electrónico, navegación web MMS o mensajería instantánea. Otros problemas críticos parcheados son específicos del cliente DHCP, el Módulo de rendimiento de Qualcomm y el controlador RF. Estas vulnerabilidades podrían permitir que se ejecute un código que comprometa permanentemente el firmware del dispositivo, lo que obligaría al usuario final a tener que volver a flashear el sistema operativo completo, si "las mitigaciones de plataforma y servicio están deshabilitadas para las propuestas de desarrollo". Eso es hablar de nerd de seguridad para permitir la instalación de aplicaciones de fuentes desconocidas y / o permitir el desbloqueo OEM.
Otras vulnerabilidades parcheadas también incluyen métodos para evitar la Protección de restablecimiento de fábrica, problemas que podrían explotarse para permitir ataques de denegación de servicio y problemas que permiten la ejecución de código en dispositivos con root. Los profesionales de TI también estarán encantados de ver problemas de correo y ActiveSync que podrían permitir el acceso a información "confidencial" parcheada en esta actualización.
Como siempre, Google también nos recuerda que no ha habido informes de usuarios afectados por estos problemas, y tienen un procedimiento recomendado para ayudar a evitar que los dispositivos sean víctimas de estos y futuros problemas:
- La explotación de muchos problemas en Android se hace más difícil por las mejoras en las versiones más recientes de la plataforma Android. Alentamos a todos los usuarios a actualizar a la última versión de Android cuando sea posible.
- El equipo de seguridad de Android está monitoreando activamente el abuso con Verify Apps y SafetyNet, que advertirán al usuario sobre las aplicaciones potencialmente dañinas detectadas que están por instalarse. Las herramientas de rooteo de dispositivos están prohibidas en Google Play. Para proteger a los usuarios que instalan aplicaciones desde fuera de Google Play, Verify Apps está habilitado de forma predeterminada y advertirá a los usuarios sobre las aplicaciones de rooteo conocidas. Verify Apps intenta identificar y bloquear la instalación de aplicaciones maliciosas conocidas que aprovechan una vulnerabilidad de escalada de privilegios. Si dicha aplicación ya se ha instalado, Verify Apps notificará al usuario e intentará eliminar dichas aplicaciones.
- Según corresponda, las aplicaciones Google Hangouts y Messenger no pasan automáticamente los medios a procesos como el servidor de medios.
Con respecto a los problemas mencionados en el boletín anterior
El 18 de marzo de 2016, Google emitió un boletín de seguridad suplementario por separado sobre problemas en el kernel de Linux utilizado en muchos teléfonos y tabletas Android. Se demostró que un exploit en las versiones 3.4, 3.10 y 3.14 del kernel de Linux utilizado en Android permitía que los dispositivos estuvieran permanentemente comprometidos, en otras palabras, los teléfonos y otros dispositivos afectados requerirían una actualización del sistema operativo para recuperar. Debido a que una aplicación pudo demostrar esta vulnerabilidad, se lanzó un boletín de mitad de mes. Google también mencionó que los dispositivos Nexus recibirían un parche "dentro de unos días". Ese parche nunca se materializó, y Google no menciona por qué en el último boletín de seguridad.
El problema, CVE-2015-1805, se ha solucionado por completo en la actualización de seguridad del 2 de abril de 2016. Las ramas de AOSP para las versiones de Android 4.4.4, 5.0.2, 5.1.1, 6.0 y 6.0.1 han recibido este parche, y el lanzamiento a la fuente está en progreso.
Google también menciona que los dispositivos que pueden haber recibido un parche con fecha del 1 de abril de 2016 no se han parcheado contra esta vulnerabilidad en particular, y solo los dispositivos Android con un nivel de parche con fecha del 2 de abril de 2016 o posterior son actuales.
La actualización enviada al Verizon Galaxy S6 y Galaxy S6 edge está fechada el 2 de abril de 2016 y contiene estas correcciones.
La actualización enviada al T-Mobile Galaxy S7 y Galaxy S7 edge está fechada el 2 de abril de 2016 y contiene estas correcciones.
La compilación AAE298 para teléfonos BlackBerry Priv desbloqueados está fechada el 2 de abril de 2016 y contiene estas correcciones. Fue lanzado a fines de marzo de 2016.
Los teléfonos que ejecutan una versión de kernel 3.18 no se ven afectados por este problema en particular, pero aún requieren los parches para otros problemas abordados en el parche del 2 de abril de 2016.
