Global Preloader
Vulnerabilidad
(04/May/2017) Google parcha defectos críticos en Android Mediaserver

Google parcha defectos críticos en Android Mediaserver

Google anunció esta semana el contenido de los parches de seguridad de Android de mayo de 2017, revelando seis fallos críticos de ejecución remota de código (RCE) se abordaban en el componente Mediaserver.

En los últimos dos años, Mediaserver surgió como uno de los componentes Android más vulnerables, después de que un error crítico de RCE, llamado Stagefright, afectaba a 950 millones de dispositivos. Detallada en julio de 2015, la vulnerabilidad alentó a Google a publicar actualizaciones mensuales de seguridad para Android.

Un segundo fallo Stagefright fue resuelto sólo meses más tarde, y Google se dirigió a muchas otras vulnerabilidades en Mediaserver durante los casi dos años de parches regulares. La compañía incluso decidió volver a diseñar Mediaserver con el lanzamiento de Android 7.0 Nougat en agosto del año pasado, pero los investigadores de seguridad siguen encontrando vulnerabilidades en el componente.

El Boletín de Seguridad de Android de Google para mayo de 2017 se dividió en dos niveles de parche: la cadena de nivel de parches de seguridad parcial 2017-05-01, que soluciona 20 fallas y la cadena de nivel de revisión de seguridad completa 2017-05-05, 98 cuestiones. Ninguna de las vulnerabilidades ha sido explotada o abusada en ataques en vivo, revela el asesoramiento de Google.

Los seis problemas críticos en Mediaserver, resueltos en la cadena de nivel de parche 2017-05-01, podrían permitir la ejecución remota de código en dispositivos afectados a través de varios métodos, incluidos correo electrónico, exploración web y MMS al procesar archivos multimedia. Los errores inciden en numerosas versiones de plataforma, incluyendo Android 4.4.4, 5.0.2, 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1 y 7.1.2.

El nivel de revisión también aborda tres vulnerabilidades de elevación de privilegios de alto riesgo (EoP) y cuatro vulnerabilidades de negación de servicio (DoS) (dos alta, una moderada y otra baja) en el componente Mediaserver.

Los 7 problemas restantes incluyen dos bugs de alto riesgo en las API de Framework (una revelación de información de EoP y una), un EoP de alta severidad en Audioserver, un EoP de riesgo medio en Bluetooth y tres vulnerabilidades de divulgación de información de severidad moderada (en Cifrado basado en archivos, Y OpenSSL y BoringSSL).

La cadena de revisión de seguridad 2017-05-05 resuelve 23 errores críticos, 59 problemas de alta severidad y 16 errores de riesgo moderados. Todas las vulnerabilidades tratadas en las cadenas anterior es también se resuelven en este nivel de parche, notas de Google.

Los 23 errores críticos incluyeron un RCE en GIFLIB, 8 EoPs en controlador de pantalla táctil MediaTek, cargador de arranque Qualcomm, subsistema de sonido de kernel, cargador de arranque de Motorola, controlador de vídeo NVIDIA, controlador de energía Qualcomm, subsistema de rastreo del kernel y 14 vulnerabilidades en componentes Qualcomm.

De los 59 problemas de alta severidad, 14 fueron varios errores en los componentes de Qualcomm; Un RCE en libxml2; 40 EoPs en controladores MediaTek, controladores Qualcomm, subsistemas de kernel (rendimiento y conexión en red), controlador de pantalla táctil Goodix y cargador de arranque HTC; 3 Fallas de divulgación de información en el controlador de cola de comandos de MediaTek y los controladores de motor de criptografía y Wi-Fi de Qualcomm; Y un DoS en el controlador de Qualcomm Wi-Fi.

Todas las 16 vulnerabilidades de severidad moderada eran errores de divulgación de información, que afectaban al controlador UVC del núcleo y al subsistema de rastreo del kernel, a los controladores Qualcomm (vídeo, alimentación, LED, memoria compartida, codificador de sonido, cámara, sonido, SPCom), al controlador Wi-Fi Broadcom, Synaptics controlador de la pantalla táctil.