Android ha publicado actualizaciones de seguridad correspondiente al mes de julio del 2022, las mismas subsanan múltiples vulnerabilidades de severidad crítica, que permitirían a un atacante remoto realizar ejecución remota de código (RCE), escalamiento de privilegios, divulgación de información, entre otros.
Las vulnerabilidades reportadas se componen de 3 (tres) de severidad “Crítica” y 23 (veinte y tres) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2022-20222, de severidad “crítica”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el componente System. Un atacante remoto podría realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-20219, de severidad “alta”, sin una puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el repositorio de Android Open Source Project (AOSP). Un atacante local podría realizar divulgación de información.
- CVE-2022-20083, de severidad «alta», sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla en el módem 2G/3G CC, debido a una posible escritura fuera de los límites. Esto permitiría a un atacante realizar la ejecución remota de código (RCE).
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.
Las versiones de los productos afectados en Android son:
- Android Open Source Project (AOSP), versiones 10, 11, 12 y 12L.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias:
- https://www.incibe.es/protege-tu-empresa/avisos-seguridad/boletin-seguridad-android-julio-2022
- https://source.android.com/security/overview/updates-resources.html#severity
- https://source.android.com/security/bulletin/2022-07-01#type
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20222
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20219