![HD-wallpaper-android-logo-creative](https://sp-ao.shortpixel.ai/client/to_webp,q_glossy,ret_img/https://www.cert.gov.py/wp-content/uploads/2023/09/HD-wallpaper-android-logo-creative.jpg)
Se han lanzado actualizaciones de seguridad sobre múltiples vulnerabilidades incluyendo una de Zero Day afectan a Google Android, que permitirían a un atacante realizar escalamiento de privilegios, divulgación de información, denegación de servicios (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 4 (cuatro) de severidad “Crítica” y 30 (treinta) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2023-35658, CVE-2023-35673 y CVE-2023-35681, todas de severidad “Crítica”, sin puntuación asignada aún. Estas vulnerabilidades se deben a una falla de seguridad en el componente System de Android. Esto permitiría a un atacante no autenticado realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2023-28581, de severidad “Crítica”, con puntuación asignada de 9.8. Esta vulnerabilidad se debe a una falla en la gestión de memoria de la comprobación del tamaño del búfer en el componente Qualcomm close-source de Android. Esto permitiría a un atacante no autenticado provocar corrupción en la memoria del sistema afectado.
- CVE-2023-35674, de severidad “Alta”, sin puntuación asignada aún. Esta vulnerabilidad Zero Day se debe a una falla de seguridad en el componente Framework de Android. Esto permitiría a un atacante no autenticado realizar escalamiento de privilegios en el sistema afectado.
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar al siguiente enlace.
Las versiones de Android afectadas son:
- Android Open Source Project (AOSP) 11, 12, 12L y 13.
- Componentes:
- Framework.
- System.
- Sistema de actualizaciones de Google Play.
- Qualcomm (incluidos closed-source).
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias:
- https://www.incibe.es/incibe-cert/alerta-temprana/avisos/boletin-de-seguridad-de-android-de-septiembre-de-2023
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35658
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35673
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35681
- https://nvd.nist.gov/vuln/detail/CVE-2023-28581
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-35674
- https://source.android.com/docs/security/bulletin/2023-09-01
- https://support.google.com/android/answer/7680439?hl=es