El Open Source Computer Emergency response Team (oCert), que ya advirtió sobre dos fallos en la versión 1.5 de Android, acaba de descubrir dos nuevas vulnerabilidades que podrÃan llevar a ataques de denegación del servicio (DoS).
El primero de estos fallos encontrados está relacionado con el procesamiento de los SMS que realiza Android. Un SMS manipulado puede llegar a desconectar el móvil de la red. Esto implica perder la conectividad y todas las llamadas que hubiese en marcha. Además, el usuario podrÃa no ser consciente de ello, a no ser que la tarjeta SIM esté protegida por un código PIN, en cuyo caso los usuarios tendrÃan que introducirlo de nuevo. La reiteración de este error podrÃa generar un ataque de denegación de servicio. El SMS consiste un mensaje WAP Push mal formateado que provoca una excepción Java ArrayIndexOutOfBoundsException en la aplicación del teléfono (android.com.phone)
El segundo fallo es una vulnerabilidad de la API Dalvik que ha sido clasificado por el grupo de Android como una vulnerabilidad DoS porque puede provocar el reinicio del sistema.
Una aplicación maliciosa descargada y ejecutada por el usuario puede activar la vulnerabilidad de la API Dalvik y reiniciar el proceso del sistema. Lo mismo ocurrirÃa si un desarrollador, sin mala intención, coloca la función vulnerable en un código que se vaya a ejecutar y provoque la llamada a la función.
Todas estas vulnerabilidades detectadas ya cuentan con un parche.
Las versiones afectadas son las siguientes:
- DoS de SMS mal formado: todas las versiones 1.5 CRBxx
- DoS de la API Dalvik: todas las versiones inferiores a la 1.5.
Versiones corregidas:
- Dos de SMS mal formado: Android 1.5 CBDxx, CRCxx, COCxx
- DoS de la API Dalvik: versiones posteriores a Android Donut DRC79
Fuente: net-security
Loading ...
