Se ha reportado un nuevo aviso de seguridad sobre múltiples vulnerabilidades que afectan a dispositivos Android de Samsung, que permitirían a un atacante realizar escalamiento de privilegios, divulgación de información, o provocar denegación de servicio (DoS).
Las vulnerabilidades reportadas se componen de 1 (una) de severidad “Crítica”, 31 (treintaiún) de severidad “Alta”, 21 (veintiún) de severidad “Medía”, y 3 (tres) de severidad “Baja”. Las principales se detallan a continuación:
- CVE-2021-0942, de severidad “crítica”, con una puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla provocada a través de una llamada del sistema ioctl desde una aplicación que no es de confianza. Esto permitiría a un atacante realizar una escritura out of band (OOB).
- CVE-2022-39852, de severidad “alta”, con una puntuación asignada de 7.8. Esta vulnerabilidad se debe a una incorrecta comprobación de los limites en la función makeContactAGIF de la librería libagifencoder.quram.so. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema.
- CVE-2022-39858, de severidad “alta”, con una puntuación asignada de 7.8. Esta vulnerabilidad se debe a una falla en la función AtBroadcastReceiver en la aplicación FactoryCamera. Esto permitiría a un atacante escribir archivos arbitrarios en el sistema.
Puede acceder a la lista completa de vulnerabilidades en los siguientes enlaces:
- https://security.samsungmobile.com/serviceWeb.smsb
- https://security.samsungmobile.com/securityUpdate.smsb
Las versiones afectadas son:
- FactoryCamera, versiones anteriores a 3.5.51.
- Librería UPHelper, versiones anteriores a 3.0.12.
- Quick Share, versiones anteriores a 13.2.3.5.
- Samsung Account, versiones anteriores a 13.5.01.3.
Puede acceder a la lista completa de las versiones afectadas en los siguientes enlaces:
- https://security.samsungmobile.com/serviceWeb.smsb
- https://security.samsungmobile.com/securityUpdate.smsb
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante en el siguiente enlace:
Referencias: