Se han lanzado actualizaciones de seguridad sobre múltiples vulnerabilidades incluyendo una de día cero (0-day) explotada activamente que afectan a Google Android, que permitirían a un atacante realizar ejecución remota de código (RCE), escalamiento de privilegios, provocar denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “Crítica” y 51 (cincuenta y uno) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2023-21127, de severidad “Crítica”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el componente Framework de Android. Esto permitiría a un atacante no autenticado realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2023-21108 y CVE-2023-21130, ambas de severidad “Crítica”, sin puntuación asignada aún. Estas vulnerabilidades se deben a una falla de seguridad en el componente System de Android. Esto permitiría a un atacante no autenticado a través del servicio Bluetooth y el soporte HFP habilitado, realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-22706, de severidad “Alta”, con puntuación asignada de 7.8. Esta vulnerabilidad de día cero (0-day) explotada activamente se debe a una falla de seguridad en el componente Arm del controlador del kernel de GPU Mali en Android. Esto permitiría a un atacante no autenticado obtener acceso de read-only en páginas de memoria dentro del sistema afectado.
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar al siguiente enlace.
Las versiones de Android afectadas son:
- Android Open Source Project (AOSP) 11, 12, 12L y 13.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias:
- https://securityonline.info/android-security-update-patches-56-security-vulnerabilities-including-critical-rce-bugs/
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21127
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21108
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-21130
- https://nvd.nist.gov/vuln/detail/CVE-2022-22706
- https://source.android.com/docs/security/bulletin/2023-06-01?hl=es-419
- https://support.google.com/android/answer/7680439?hl=es-419