Ayer Google lanzo una actualización de seguridad para Andtoid y como es normal la National Vulnerability Database (NVD) ya ha dado cuenta de estas vulnerabilidades piblicandolas en el Feed Recent. Bueno, hoy no hablaremos de las vulnerabilidades en si pero si que me gustaría enseñaros de donde el NVD ha sacado esta información que seguro que a mas le uno le es útil.
Como se puede ver en el Feed se usa el tipo de identificación única Common Platform Enumeration (CPE) por ejemplo en el caso que toca la vulnerabilidad CVE-2015-6610 podemos cer el cpe --> cpe:/o:google:android:5.1.1
<entry id="CVE-2015-6610">
<vuln:vulnerable-configuration id="http://nvd.nist.gov/">
<cpe-lang:logical-test operator="OR" negate="false">
<cpe-lang:fact-ref name="cpe:/o:google:android:5.1.1"/>
Esto quiere decir que podemos aplicar esta vulnerabilidad a todos los android con versión 5.1.1.
Google tiene una lista de correo donde publica todas las actualizaciones de seguridad para Android aunque ellos dicen que es para su serie de smartphones Nexus pero realmente estan publicando actualizaciones de seguridad para Android. Estas Vulnerabilidades las podemos cotejar con el NVD y veremos que son las mismas.
Issue
|
CVE
|
Severity
|
Remote Code Execution Vulnerabilities in Mediaserver
|
CVE-2015-6608
|
Critical
|
Remote Code Execution Vulnerability in libutils
|
CVE-2015-6609
|
Critical
|
Information Disclosure Vulnerabilities in Mediaserver
|
CVE-2015-6611
|
High
|
Elevation of Privilege Vulnerability in libstagefright
|
CVE-2015-6610
|
High
|
Elevation of Privilege Vulnerability in libmedia
|
CVE-2015-6612
|
High
|
Elevation of Privilege Vulnerability in Bluetooth
|
CVE-2015-6613
|
High
|
Elevation of Privilege Vulnerability in Telephony
|
CVE-2015-6614
|
Moderate
|
Aquí tenes el enlace al grupo de Google Groups y espero que os sirva mucho:
No hay comentarios:
Publicar un comentario