Se han lanzado actualizaciones de seguridad sobre múltiples vulnerabilidades que afectan a Google Android, que permitirían a un atacante realizar escalamiento de privilegios, divulgación de información, provocar denegación de servicios (DoS) o ejecución remota de código (RCE).
Las vulnerabilidades reportadas se componen de 6 (seis) de severidad “Crítica”, 59 (cincuenta y nueve) de severidad “Alta” y 1 (una) de severidad “Media”. Las principales se detallan a continuación:
- CVE-2023-21085 y CVE-2023-21096, ambas de severidad “crítica”, sin puntuación asignada aún. Estas vulnerabilidades se deben a una falla de seguridad en el componente System de Android. Esto permitiría a un atacante no autenticado realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2023-21081, de severidad “alta”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el componente Framework de Android. Esto permitiría a un atacante no autenticado realizar escalamiento de privilegios en el sistema afectado.
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar al siguiente enlace.
Las versiones de Android afectadas son:
- Android Open Source Project (AOSP) 11, 12, 12L y 13.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/boletin-seguridad-android-abril-2023
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21085
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21096
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21081
- https://source.android.com/docs/security/bulletin/2023-04-01?hl=es-419
- https://support.google.com/android/answer/7680439?hl=es