Como es habitual para primera semana del mes desde que Google se auto comprometió a emitir parchos de seguridad mensuales para Android, ahora tenemos lo que estaremos seguros desde ahora en Marzo.
Para el mes de Marzo, el boletín propio de este mes para la seguridad de Android incluye 16 mejoras, 6 marcadas como críticas, 8 marcadas como alta prioridad y comenzamos a documentarlas.
Criticas
- Ejecutación remota con Mediaserver
- Ejecutación remota con libvpx
- Elevación de privilegios de Conscrypt
- Vulnerabilidad con elevación de privilegios con programa de desempeño de Qualcomm
- Vulnerabilidad con elevación de privilegios con driver de Wi-Fi de MediaTek
- Vulnerabilidad con elevación de privilegios con componente de keyring
Alta Prioridad
- Vulnerabilidad de bypass mitigación en el Kernel
- Elevación de privilegios del driver de MediaTek
- Kernel muestra información que no debe mostrar.
- Libstagefright muestra información que no debe mostrar.
- Widevine muestra información que no debe mostrar.
- Elevación de privilegios con Mediaserver
- Mediaserver muestra información que no debe mostrar.
- Vulnerabilidad que permite Denial Of Service en el Bluetooth.
Moderado
- Componente de telefonía muestra información que no debería mostrar.
- Elevación de privilegios en el Setup Wizard.
En particular, Google nota que lo más grave de estas vulnerabilidades de seguridad crítica, es que permita la ejecución de código remoto en un dispositivo afectado a través de múltiples métodos como el correo electrónico, navegación web, y MMS al procesar archivos multimedia, pero afortunadamente Google confirma que estas fallas de seguridad no han sido explotadas públicamente.
Google también exhorta a todos a mantener constancia con las actualizaciones y que no dejen de instalarlas ya que las mismas son más difíciles de explotar con cada actualización de Android.
Por último, Google agradeció a su grupo de seguridad de Android, el equipo de seguridad de Chrome, Anestis Bechtsoudis de CENSUS, CORE Team, Trend Micro, Scott Bauer, Huawei y aSingapore Management University quienes colaboraron en la identificación de las fallas de seguridad y ya Google confirmó que los manufactureros y empresas socias proveedoras móviles ya fueron notificada y es normal que deban esperar que sean los equipos Google Nexus aplicables quienes reciban las imágenes nuevas como de costumbre.
[button color=”green” size=”medium” link=”https://source.android.com/security/bulletin/2016-03-01.html” icon=”” target=”false”]Boletín de Seguridad de Marzo 2016 para Android[/button]
