Grave vulnerabilidad de Linux afecta a dispositivos Android

Publicado el 29 marzo 2016 ¬ 17:00 pmh.mscComentarios desactivados en Grave vulnerabilidad de Linux afecta a dispositivos Android

Google ha confirmado la detección de una aplicación disponible de forma
pública que aprovechando una vulnerabilidad permitía obtener permisos de
“root” en dispositivos Android.

Google ha publicado un aviso de seguridad en el que informa de una
vulnerabilidad no parcheada de elevación de privilegios en el kernel de
algunos dispositivos Android. La compañía confirma que tras la detección
de este fallo de seguridad se ha bloqueado la instalación de
aplicaciones que permitan “rootear” dispositivos mediante el uso de esta
vulnerabilidad. Tanto desde Google Play como desde fuera de Google Play
(mediante Verify Apps) y ha actualizado sus sistemas para detectar
aplicaciones que usen esta vulnerabilidad concreta.

El problema ya era conocido en el kernel de Linux, e incluso fue
corregido en abril de 2014, sin embargo no se le asignó un CVE
(CVE-2015-1805) con un parche de seguridad hasta febrero de 2015. Ha
sido en febrero de este año, cuando C0RE Team notificó a Google que el
problema podía explotarse en Android y se desarrolló un parche para
incluirse en las actualizaciones periódicas de Android.

El 15 de marzo, Google recibió un aviso de Zimperium (los mismos que
descubrieron Stagefright) de que la vulnerabilidad había sido
aprovechada en un Nexus 5. Tras lo que Google pudo confirmar la
existencia de aplicaciones disponibles públicamente, para proporcionar
permisos de “root” en Nexus 5 y 6. Según confirma Google, no se han
detectado aplicaciones que puedan considerarse maliciosas que aprovechen
esta vulnerabilidad.

Se ven afectados todos los dispositivos Android con versiones de kernel
3.4, 3.10 y 3.14. Dispositivos Android con versiones del kernel 3.18 o
superior no son vulnerables. Google ha calificado este problema como de
gravedad crítica dada la posibilidad de realizar una escalada de
privilegios local y permitir la ejecución de código arbitrario que daría
lugar a un compromiso total y permanente del dispositivo afectado.

Para proporcionar una capa final de defensa para este problema, se ha
proporcionado a los fabricantes un parche para este problema. Google ha
desarrollado actualizaciones para sus dispositivos Nexus y se ha
publicado el código fuente de los parches en el repositorio Android Open
Source Project (AOSP).

Ver informacion original al respecto en Fuente:
http://unaaldia.hispasec.com/2016/03/grave-vulnerabilidad-de-linux-afecta.html

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades, ,

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies