Vulnerabilidad en la aplicación Widevine QSEE TrustZone en Android (CVE-2015-6647)
Gravedad CVSS v3.1:
ALTA
Tipo:
CWE-264
Permisos, privilegios y/o control de acceso
Fecha de publicación:
06/01/2016
Última modificación:
12/04/2025
Descripción
La aplicación Widevine QSEE TrustZone en Android 5.x en versiones anteriores a 5.1.1 LMY49F y 6.0 en versiones anteriores a 2016-01-01 permite a atacantes obtener privilegios a través de una aplicación manipulada que aprovecha el acceso QSEECOM, también conocida como error interno 24441554.
Impacto
Puntuación base 3.x
7.80
Gravedad 3.x
ALTA
Puntuación base 2.0
9.30
Gravedad 2.0
ALTA
Productos y versiones vulnerables
| CPE | Desde | Hasta |
|---|---|---|
| cpe:2.3:o:google:android:5.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:5.0.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:5.0.2:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:5.1.0:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:5.1.1:*:*:*:*:*:*:* | ||
| cpe:2.3:o:google:android:6.0:*:*:*:*:*:*:* |
Para consultar la lista completa de nombres de CPE con productos y versiones, ver esta página
Referencias a soluciones, herramientas e información
- http://packetstormsecurity.com/files/172637/Widevine-Trustlet-5.x-6.x-7.x-PRDiagVerifyProvisioning-Buffer-Overflow.html
- http://seclists.org/fulldisclosure/2023/May/26
- http://source.android.com/security/bulletin/2016-01-01.html
- http://www.securitytracker.com/id/1034592
- http://packetstormsecurity.com/files/172637/Widevine-Trustlet-5.x-6.x-7.x-PRDiagVerifyProvisioning-Buffer-Overflow.html
- http://seclists.org/fulldisclosure/2023/May/26
- http://source.android.com/security/bulletin/2016-01-01.html
- http://www.securitytracker.com/id/1034592