Google, tal como prometió, ha lanzado una actualización e su sistema
operativo Android para los dispositivos Nexus. Esta actualización, lejos de
añadir nuevas funciones y características, soluciona un total de 12 fallos de
seguridad en el sistema operativo, 5 de los cuales han sido considerados como
críticos.
La mayoría de los fallos afectan a las versiones más recientes del sistema operativo: KitKat, Lollipop y Marshmallow.
Las 5 vulnerabilidades críticas solucionadas por la
actualización de enero de Android
- El fallo de seguridad más importante de los 5 críticos es CVE-2015-6636. Este fallo, situado en el MediaServer del sistema operativo, podría permitir la ejecución de código de forma remota en los dispositivos vulnerables si un pirata informático o usuario malintencionado envía un fichero multimedia modificado específicamente para aprovechar la vulnerabilidad a través de correo electrónico, navegador web e incluso MMS.
- El servicio multimedia de Android, MediaServer, tiene acceso a todo el audio y a la transmisión de vídeo dentro del sistema operativo, así como a diferentes privilegios superiores dentro del sistema a los que otras aplicaciones de terceros no pueden acceder. Por ello, si un pirata consigue tomar el control de dicho proceso puede suponer un serio riesgo para la seguridad y privacidad del dispositivo. Las dos últimas actualizaciones mensuales también corregían fallos en este componente del sistema, y se espera que esta sea la última.
- Los 4 fallos de seguridad críticos restantes permitían una elevación de privilegios dentro del sistema, causados por el controlador misc-sd de MediaTeck, un controlador del kernel de Imagination Technologies, la aplicación Widevine QSEE TrustZone y en el propio kernel. Estos fallos han sido considerados críticos porque, además de poderse explotar de forma local, una vez explotados, los privilegios quedan fijados en el sistema y hay que volver a flashear para restaurar los permisos y solucionar la vulnerabilidad.
- De las 7 vulnerabilidades restantes, dos de ellas son de importancia alta, pero no llegan a ser críticas. De ellas, la que mayor repercusión puede tener es CVE-2015-6641, una vulnerabilidad en el controlador de Bluetooth que permite saltarse las medidas de seguridad de Android y ganar privilegios temporales en el sistema operativo.
- En segundo lugar, un fallo de seguridad en el kernel que puede dar lugar a fuga de datos personales.
- Las 5 vulnerabilidades restantes que han sido solucionadas son de importancia moderada y o no son compatibles con los modelos Nexus actualizados o son muy complicadas de explotar y no suponen un grave riesgo para el usuario.
