Android soluciona varias vulnerabilidades críticas

Publicado el 11 marzo 2020 ¬ 15:14 pmh.mscComentarios desactivados en Android soluciona varias vulnerabilidades críticas

Entre las 70 actualizaciones de seguridad que Google ha publicado en su último boletín para Android se soluciona una vulnerabilidad de elevación de privilegios presente en los chipset de MediaTek y que afecta a millones de dispositivos.

La vulnerabilidad, etiquetada con CVE-2020-0069, ha sido clasificada por Google como de gravedad alta. Sin embargo, en el foro de desarrolladores de ‘XDA Developers’ le otorgan una puntuación de 9.3 (crítica), ya que permite conseguir privilegios de sistema sin necesidad de desbloquear el gestor de arranque del dispositivo (en inglés ‘bootloader‘).

El fallo se encuentra en el componente que gestiona la cola de comandos del procesador y permite sobreescribir ciertos procesos del kernel para elevar privilegios. Además, desactiva el módulo ‘SELinux’, encargado de proporcionar mecanismos de seguridad al núcleo del sistema.
Fuente: xda-developers.com

A pesar de que MediaTek resolvió el fallo en mayo de 2019, son pocos los fabricantes que han aplicado los parches correspondientes.

Otra vulnerabilidad considerada de gravedad crítica se encuentran en el componente ‘Media framework’, encargado de administrar servicios como el de la cámara o la reproducción de ficheros de audio y vídeo.

La primera de ellas permitiría ejecutar código arbitrario en las versiones 8, 8.1, 9 y 10 de Android. Ha sido etiquetada con el CVE-2020-0032.

Otras dos vulnerabilidades consideradas de gravedad alta permitirían elevar privilegios (CVE-2020-0033) o revelar información sensible (CVE-2020-0034).

El mayor número de vulnerabilidades críticas se encuentran en el chip Qualcomm. En total se solucionan 48 fallos, de los cuales 16 son críticos: desbordamientos de memoria que podrían permitir la ejecución de código arbitrario a través del firmware para WLAN, lo que permitiría además que la ejecución se hiciese de forma remota (CVE-2019-10546, 14031, 14083, 14086, 14097, y 14098), así como otras que afectan al modem integrado en el chip (CVE-2019-10586, 10587, 10593, 10594, y 2317).

Desreferencias de punteros en el kernel que podrían ser explotados de forma remota (CVE-2019-10612). Otras dos vulnerabilidades críticas explotables de forma local (CVE-2019-14030 y CVE-2019-14071). Así como otras dos vulnerabilidades en el procesador de vídeo y del bluetooth explotables de forma remota (CVE-2019-14045 y CVE-2019-14095).

Recomendamos consultar y actualizar a la última versión de Android disponible en tu dispositivo.

Ver información original al respecto en Fuente>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Noticias, Vulnerabilidades

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies