Una vez más, se descubrió que la plataforma Android contenía más vulnerabilidades críticas que el mes anterior. En marzo, hubo ocho problemas críticos en total y ahora, para abril, hay nueve en la parte superior de las listas. Echemos un vistazo a estas fallas críticas detalladas en el Boletín de seguridad de Android de abril de 2017.

Índice

Comprueba tu versión de seguridad

Antes de destacar lo que se incluye en el Boletín de seguridad de Android de abril de 2017, siempre es bueno saber qué versión de seguridad está instalada en su dispositivo. De los dispositivos Android que uso regularmente, el Nexus 6 de Verizon, con Android 7.0, y el OnePlus 3, con Android 7.1.1, tienen el parche de seguridad de marzo (Figura A).

Figura A

Echemos un vistazo a estas vulnerabilidades críticas que afectan a la plataforma Android.

cuestiones críticas

Vulnerabilidad de ejecución remota de código de Mediaserver

El color no me sorprende que siga siendo un problema crítico para el Mediaserver, a menudo plagado. Una vez más, tenemos una vulnerabilidad de ejecución remota de código en Mediaserver que podría permitir que un atacante, utilizando un archivo especialmente diseñado, provoque daños en la memoria al procesar el archivo multimedia y los datos. Debido a la posibilidad de ejecución remota de código, este problema se ha clasificado como crítico.

Errores relacionados: A-33641588, A-33864300, A-33966031, A-34031018, A-33934721, A-34097866

Vulnerabilidad de ejecución remota de código de firmware Wi-Fi de Broadcom

Se ha descubierto otra vulnerabilidad de ejecución remota de código, esta vez en el firmware Wi-Fi de Broadcom, que podría permitir a un atacante remoto ejecutar código arbitrario en el contexto del sistema Wi-Fi en chip (SoC). Debido a la posibilidad de ejecución remota de código, en el contexto del SoC Wi-Fi, este problema se ha clasificado como crítico.

Error relacionado: A-34199105

NOTA: La solución para la vulnerabilidad anterior no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

VER: Los dispositivos móviles con conjuntos de chips Broadcom pueden ser vulnerables a la piratería de Wi-Fi

Vulnerabilidad de ejecución remota de código del controlador Qualcomm Crypto Engine

El controlador del motor Qualcomm crytpo contiene una vulnerabilidad de ejecución remota de código que podría permitir que un atacante remoto ejecute código arbitrario en el contexto del kernel. Debido a la posibilidad de ejecución remota de código (en el contexto del kernel), este problema se ha clasificado como crítico.

Errores relacionados: A-34389927, QC-CR#1091408

Vulnerabilidad de ejecución remota de código en el subsistema de red del kernel

Se ha localizado una vulnerabilidad de ejecución remota de código en el subsistema de red del kernel, que podría permitir que un atacante remoto ejecute código arbitrario en el kernel. Este error no afecta a los kernels ascendentes, por lo que cualquier kernel que no esté etiquetado como ascendente podría verse afectado. Debido a la posibilidad de ejecución remota de código, esta vulnerabilidad ha sido clasificada como crítica.

Errores relacionados: A-32813456, kernel ascendente

Vulnerabilidad de elevación de privilegios del controlador de pantalla táctil de MediaTek

Se descubrió que el controlador de pantalla táctil de MediaTek contenía una vulnerabilidad de elevación de privilegios que podría permitir que una aplicación maliciosa local ejecutara código arbitrario en el kernel. Debido a la posibilidad de que el dispositivo se vea comprometido (lo que puede requerir una actualización del sistema operativo para reparar el dispositivo), este problema se ha clasificado como crítico.

Errores relacionados: A-30202425, M-ALPS02898189

NOTA: La corrección del error A-30202425 no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Vulnerabilidad de elevación de privilegios en el controlador de pantalla táctil de HTC

Se descubrió que otro error en un controlador de pantalla táctil diferente (esta vez en dispositivos HTC) contenía una vulnerabilidad de elevación de privilegios que podría permitir que una aplicación maliciosa local ejecutara código arbitrario en el kernel. Debido a la posibilidad de que el dispositivo se vea comprometido (lo que puede requerir una actualización del sistema operativo para reparar el dispositivo), este problema se ha clasificado como crítico.

Error relacionado: A-32089409 NOTA: La solución para el error A-32089409 no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Vulnerabilidad de elevación de privilegios del subsistema Kernel ION

Un error del mes anterior apareció de nuevo. Se ha descubierto que ION Memory Allocator contiene una vulnerabilidad de elevación de privilegios. Esta vulnerabilidad del kernel podría permitir que una aplicación maliciosa local ejecute código malicioso arbitrario en el contexto del kernel. Debido a la posibilidad de compromiso permanente del dispositivo (que puede requerir volver a actualizar el sistema operativo), esta falla se ha marcado como crítica.

Error relacionado: A-34276203

NOTA: La corrección del error A-34276203 no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Vulnerabilidades en los componentes de Qualcomm

Dos vulnerabilidades críticas afectan a los componentes de Qualcomm. Estos errores se tratan en detalle en el Boletín de seguridad de AMSS de Qualcomm de octubre de 2016.

Errores relacionados: A-31628601, A-35358527

NOTA: La corrección de los errores A-31628601 y A-35358527 no está disponible públicamente y se puede encontrar en los controladores binarios más recientes para dispositivos Nexus en el sitio de desarrolladores de Google.

Mejora y actualiza

Los desarrolladores trabajarán diligentemente para solucionar las vulnerabilidades, pero depende de los usuarios finales asegurarse de que las soluciones lleguen a los dispositivos. Asegúrese no solo de buscar actualizaciones, sino también de aplicarlas tan pronto como estén disponibles. Para ver la lista completa de vulnerabilidades (que incluye varios problemas altos y moderados), consulte el Boletín de seguridad de Android de abril de 2017.