Se han lanzado actualizaciones de seguridad sobre múltiples vulnerabilidades que afectan a Google Android, que permitirían a un atacante realizar escalamiento de privilegios, divulgación de información, denegación de servicio (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Crítica” y 46 (cuarenta y seis) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2023-20951, y CVE-2023-20954 de severidad “crítica” y sin puntuación asignada aún. Estas vulnerabilidades se deben a una incorrecta validación de datos de entrada en el componente system de Android. Esto permitiría a un atacante sin privilegios realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-33213 y CVE-2022-33256, de severidad “crítica” y sin puntuación asignada aún. Estas vulnerabilidades se deben a una incorrecta validación de datos de entrada en el componente Qualcomm closed-source. Esto permitiría a un atacante remoto realizar ejecución remota de código (RCE) en el sistema afectado.
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar al siguiente enlace.
Las versiones de Android afectadas son:
- Android Open Source Project (AOSP), versiones 11, 12, 12L y 13.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/boletin-seguridad-android-marzo-2023
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20951
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-20954
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-33213
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-33256
- https://source.android.com/docs/security/bulletin/2023-03-01
- https://support.google.com/android/answer/7680439?hl=es