CSIRT Panamá Aviso 2015-10- Vulnerabilidad Stagefright en Android
Gravedad: Crítica
Fecha de publicación: Octubre 02, 2015
Fecha de modificación: Octubre 02, 2015
Última revisión: Revisión A.
Fuente: Zimperium Labs
Sistemas Afectados
Android versiones desde 1.0 hasta 5.1.1
I. Descripción
En un amplio espectro de versiones (desde la 1.0 lanzada en 2008, hasta la última 5.1.1 – Lollipop) existe una falla de seguridad en la forma en que Android procesa los metadatos de archivos de tipo mp3 y mp4 especialmente diseñados, lo que puede permitir a la ejecución remota de código.
Stagefright que se encuentra en la versión 2.0, es un conjunto de dos vulnerabilidades que se manifiestan en el procesamiento de determinados archivos de video mencionados anteriormente. Una deficiencia se encuentra en la biblioteca de Android llamada “Stagefright”, la cual puede ser explotada al enviar un mensaje multimedia (MMS) especialmente diseñado; la otra falla descubierta recientemente por la empresa de seguridad Zimperium, está en la biblioteca de Android llamada “libutils”.
Debido a que el vector de ataque a través de los mensajes multimedia (MMS) fué bloqueado en versiones recientes de Android, el método de explotación más sencillo es a través del navegador web. Los atacantes buscarían que las víctimas visitaran determinados sitios web que explotan el defecto a través de correo electrónico, mensajería instantánea o anuncios maliciosos en sitios web legítimos. Otro vector de ataque que podría ser utilizado son los reproductores multimedia de terceros o aplicaciones que dependan de la biblioteca de Android vulnerable.
II. Impacto
Complejidad de Acceso: Media.
Autenticación: No requerida para explotarla.
Tipo de impacto: Compromiso total de la integridad del sistema + Compromiso total de la confidencialidad del sistema + Compromiso total de la disponibilidad del sistema.
III. Referencia a soluciones, herramientas e información
- https://blog.zimperium.com/zimperium-zlabs-is-raising-the-volume-new-vulnerability-processing-mp3mp4-media/
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3876
- https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6602
IV. Información de contacto
CSIRT PANAMA
Autoridad Nacional para la Innovación Gubernamental
E-Mail: info@cert.pa
Web: http://www.cert.pa
—–BEGIN PGP PUBLIC KEY BLOCK—–
Version: GnuPG v2.0.17 (MingW32)
mQENBE8C9KoBCAClkvrtdD08B1YgIntnK241GmWY7fRWtPn/QIEG1+TLokEuOhw+
Gq/lK/4NP9RzqpD57LcRUBiGgTmO/5C9xkhVmxz2jid0h03fLorC84rAk2pOjr0i
pbltETq9RCGhOWp13OV22x2yiIedBi05bzw3F+uLHhn9xKjmpBuZB6WO/TuD52DH
KRZtwSvoaa61vL0bGnIf3lNGWkALWEC3lGBppby4D05N2FNfgfOFr1yOpxTaRaDh
4kOnoAEWVzppkTPyqSOkwXmgdma8D9yqD41Ffu8ypGTv+OOVO7jDq8tx9wVZEU+w
pqBTzQcf0P0K7qO3igdHQxqHmqXsaJpbmvCBABEBAAG0KkNTSVJUIFBhbmFtYSAo
Q1NJUlQgUGFuYW1hKSA8aW5mb0BjZXJ0LnBhPokBOAQTAQIAIgUCTwL0qgIbDwYL
CQgHAwIGFQgCCQoLBBYCAwECHgECF4AACgkQ2YlXchbysSSPSQgAooUy3qSR/YX2
H3USJ5VzrmnraHg5LIWRPIBD1PGrswjLE8hxdobPU/uzi9LWnEcDscfFVKM/K0Jt
bjeoESqCVFlpE0YXJWdDhy0m2WM410sDE2HVXbPhWGqrNeDb0VUV/LWag1yYTj5w
kkxma4Tk5TqlhgL5su2PpjtTdFSHYD4N+4mu7g1GhRrrpz+u7ZRm3b/WkAJg5FIg
U0MpPqUGAF5/pc02ZB10FdxDwWyXAkwYUN+zfLiKzKOrBGkEw9+jvFGU+z76P9Zk
1XJIexpmkBYTxc+TOclhAp/3HP4taoBHRMoR1q1YhdC++UgRSLmPLGn/AB707JzN
Q80++q2kWQ==
=JUYg
—–END PGP PUBLIC KEY BLOCK—–