La actualización de seguridad de Android de diciembre llega calentita. Aunque todavía no se ha lanzado ni siquiera para los Google Pixel (llegará probablemente durante esta semana junto al Feature Drop de diciembre), Google ha publicado ya el boletín de seguridad y lo que leemos da un poco de miedo.
El parche de seguridad de diciembre (2023-12-01 y 2023-12-05 por ahora) detalla 94 vulnerabilidades en distintos componentes de Android, del sistema y de terceras partes como Qualcomm, MediaTek o fabricantes específicos e incluye cinco vulnerabilidades críticas, una de las cuales es especialmente preocupante pues permite la ejecución de código de forma remota.
Parche de seguridad de diciembre
Google ha detallado ya los parches que se corrigen en el parche de seguridad de diciembre, el cual llegará a los Google Pixel en los próximos días y, tras publicarse en AOSP, recae en cada fabricante adaptarlo y enviarlo a su flota de móviles, algo que puede tardar desde días a semanas o meses, en aquellos que reciben actualizaciones bimensuales, trimestrales o semestrales.
Como es de esperar el parche de seguridad de diciembre viene bien cargadito de correcciones, con aproximadamente un centenar de vulnerabilidades corregidas, aunque esto no quiere decir que todas ellas afecten a todos los móviles. Por ejemplo, cinco vulnerabilidades afectan a componentes de MediaTek, siete a Unisoc y veintinueve a los de Qualcomm, además de quince para las GPU PowerVR-GPU.
De todas estas vulnerabilidades, cinco están clasificadas como críticas: dos como parte del framework de Android, dos como parte del sistema y una como parte de los componentes de Qualcomm:
- CVE-2023-40077: Es una vulnerabilidad en el framework de Android que permite la escalada de privilegios sin necesidad de intervención del usuario y afecta a las versiones de Android desde Android 11 a Android 14.
- CVE-2023-40076: Otra vulnerabilidad en el framework de Android por la cual es posible acceder a credenciales de otros usuarios saltándose los permisos. Afecta a Android 14.
- CVE-2023-45866: Es una vulnerabilidad del sistema que afecta a las versiones de Android desde Android 11 a Android 14 que permite la escalada de privilegios de forma remota (pero cercana) sin intervención del usuario.
- CVE-2022-40507: Una vulnerabilidad en los componentes de código cerrado de Qualcomm (en teoría en el módem) que causa corrupción de memoria.
- CVE-2023-40088: Es la vulnerabilidad más peligrosa de la lista, una vulnerabilidad zero-day que permite la ejecución de código de forma remota, pero cercana, sin necesidad de interacción del usuario ni los permisos necesarios.
Los detalles concretos de esta vulnerabilidad zero-day todavía no se conocen, más allá de que afecta a las versiones de Android desde Android 11 a Android 14 y que se encuentra en el módulo de Bluetooth del sistema. Se desconoce si la vulnerabilidad está siendo explotada, aunque para hacerlo el atacante debería estar a corta distancia, dentro del rango del Bluetooth.
No es motivo para el pánico, pero sí un buen recordatorio de la importancia de mantener los móviles actualizados con los últimos parches de seguridad. A los Google Pixel el parche de diciembre llegará en los próximos días y después será el turno de cada fabricante desplegar su propia versión de los mismos con las vulnerabilidades que atañen a cada modelo.
Vía | Android Central
En Xataka Android | Parches de seguridad de Android: qué son y por qué es importante instalarlos
Ver 0 comentarios