Actualizaciones de seguridad en Android de mayo de 2022

---

09/05/2022

Google ha lanzado actualizaciones de seguridad sobre 36 vulnerabilidades, incluyendo una explotada activamente, que afectan al sistema operativo Android, que permitirían a un atacante escalamiento de privilegio, divulgación de información, entre otros.

Las vulnerabilidades reportadas se componen de 1 (uno) de severidad “Crítica”, 33 (treinta y tres) de severidad “Alta” y 2 (dos) de severidad “Media”. Las principales se detallan a continuación:

• CVE-2021-39662 , vulnerabilidad de severidad alta, con una puntuación asignada de 7.8. La falla se debe a una comprobación de permisos faltante en la función checkUriPermission del archivo MediaProvider.java. Un atacante podría aprovechar esta vulnerabilidad para realizar un escalamiento local de privilegios, a partir de los privilegios de ejecución de usuario necesarios.

• CVE-2021-39670, vulnerabilidad de severidad alta, sin una puntuación asignada aún. La falla se debe a un error en la función generateCrop, al reemplazar un BitmapRegionDecoder por un ImageDecoder. Un atacante podría aprovechar esta vulnerabilidad para provocar denegación de servicio.

El parche de seguridad de mayo para Android lanzado por Google incluye una solución para una vulnerabilidad del kernel de Linux explotada activamente. La misma, rastreada como CVE-2021-22600, es un error de escalamiento de privilegios en el kernel de Linux, que permitiría a un atacante explotarlo a través del acceso local. Como Android utiliza un kernel de Linux modificado, la vulnerabilidad también afecta al sistema operativo.

Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar a este enlace.

Las versiones de los productos afectados en Android son:

• Android Open Source Project (AOSP), versiones 10, 11, 12 y 12L.

Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:

• https://support.google.com/android/answer/7680439?hl=es

Referencias:

• https://www.bleepingcomputer.com/news/security/google-fixes-actively-exploited-android-kernel-vulnerability/
• https://source.android.com/security/bulletin/2022-05-01
• https://www.securityweek.com/androids-may-2022-security-updates-patch-36-vulnerabilities
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=2021-39662
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20004
• https://nvd.nist.gov/vuln/detail/CVE-2021-22600
• https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/linux.git/commit/?id=ec6af094ea28f0f2dda1a6a33b14cd57e36a9755
• https://support.google.com/android/answer/7680439?hl=es