miércoles, 4 de noviembre de 2015

Google Groups y Vulnerabilidades de Android.

Ayer Google lanzo una actualización de seguridad para Andtoid y como es normal la National Vulnerability Database (NVD) ya ha dado cuenta de estas vulnerabilidades piblicandolas en el Feed Recent. Bueno, hoy no hablaremos de las vulnerabilidades en si pero si que me gustaría enseñaros de donde el NVD ha sacado esta información que seguro que a mas le uno le es útil.



Como se puede ver en el Feed se usa el tipo de identificación única Common Platform Enumeration (CPE) por ejemplo en el caso que toca la vulnerabilidad CVE-2015-6610 podemos cer el cpe --> cpe:/o:google:android:5.1.1

<entry id="CVE-2015-6610">
   <vuln:vulnerable-configuration id="http://nvd.nist.gov/">
      <cpe-lang:logical-test operator="OR" negate="false">
          <cpe-lang:fact-ref name="cpe:/o:google:android:5.1.1"/>

Esto quiere decir que podemos aplicar esta vulnerabilidad a todos los android con versión 5.1.1. 

Google tiene una lista de correo donde publica todas las actualizaciones de seguridad para Android aunque ellos dicen que es para su serie de smartphones Nexus pero realmente estan publicando actualizaciones de seguridad para Android. Estas Vulnerabilidades las podemos cotejar con el NVD y veremos que son las mismas. 

Issue
CVE
Severity
Remote Code Execution Vulnerabilities in Mediaserver
CVE-2015-6608
Critical
Remote Code Execution Vulnerability in libutils
CVE-2015-6609
Critical
Information Disclosure Vulnerabilities in Mediaserver
CVE-2015-6611
High
Elevation of Privilege Vulnerability in libstagefright
CVE-2015-6610
High
Elevation of Privilege Vulnerability in libmedia
CVE-2015-6612
High
Elevation of Privilege Vulnerability in Bluetooth
CVE-2015-6613
High
Elevation of Privilege Vulnerability in Telephony
CVE-2015-6614
Moderate
Aquí tenes el enlace al grupo de Google Groups y espero que os sirva mucho: 



No hay comentarios:

Publicar un comentario