A medida que el verano llega a su fin, las vulnerabilidades de Android continúan plagando la plataforma. Aunque August vio algunos errores menos críticos, hubo muchas fallas marcadas como Altas para equilibrar la hoja. Profundicemos en estas vulnerabilidades y veamos de qué se tratan.

Antes de sumergirse en lo que se incluye en el boletín de este mes, siempre es bueno saber qué versión de seguridad está instalada en su dispositivo. Como era de esperar, mi conductor diario, un Essential PH-1, está ejecutando un parche de seguridad que ahora tiene un mes de retraso (5 de julio de 2018).

Para saber qué nivel de parche está usando, abra Configuración y vaya a Acerca del teléfono. Si está utilizando Android Pie, esta ubicación ha cambiado a Configuración | Seguridad y ubicación | Seguridad actualizada. Desplácese hacia abajo hasta que vea el Nivel de parche de seguridad de Android (Figura A).

VER: Política de Seguridad de la Información (Tech Pro Research)

Figura A

Índice
  • Terminología
  • 2018-08-01 nivel de parche de seguridad
  • 2018-08-05 nivel de parche de seguridad
  • Mejora y actualiza
  • Terminología

    Encontrará diferentes tipos de vulnerabilidades en la lista. Los posibles tipos incluyen:

    • RCE: ejecución remota de código
    • EoP – Elevación de privilegios
    • Identificación - Divulgación de información
    • DoS: denegación de servicio

    Y ahora sobre los problemas.

    2018-08-01 nivel de parche de seguridad

    cuestiones críticas

    Solo hay tres problemas marcados como críticos para el nivel de parche 08-01. El primero afecta a Media Framework y podría, a través de un archivo malicioso, permitir que un atacante remoto ejecute código arbitrario como parte de un proceso privilegiado. El error asociado es (enumerado por CVE, referencia y tipo):

    • CVE-2018-9427A-77486542 RCE

    Las dos últimas fallas críticas se encuentran en el sistema y, a través de un archivo malicioso, podrían permitir que un atacante remoto ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia y tipo):

    • CVE-2018-9446 A-80145946 RCE
    • CVE-2018-9450A-79541338 RCE

    Asuntos importantes

    Las vulnerabilidades marcadas como Alta comprenden la gran mayoría de los errores de agosto. Los primeros cuatro están asociados con Framework y podrían, a través de una aplicación maliciosa, eludir los requisitos de interacción del usuario para obtener permisos adicionales. Los errores relacionados son (enumerados por CVE, referencia y tipo):

    • CVE-2018-9445A-80436257 EoP
    • CVE-2018-9438A-78644887 DoS
    • CVE-2018-9458A-71786287 EoP
    • CVE-ID-2018-9451A-79488511

    Las siguientes dos vulnerabilidades marcadas como Alta afectan el marco de medios y podrían, a través de un archivo malicioso, permitir que un atacante remoto ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia y tipo):

    • CVE-2018-9444 A-63521984 DoS
    • CVE-2018-9437A-78656554 DoS

    Las últimas vulnerabilidades, calificadas como Altas, afectan el Sistema y podrían, a través de un archivo malicioso, permitir que un atacante remoto ejecute código arbitrario dentro de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia y tipo):

    • CVE-2018-9459A-66230183 EoP
    • CVE-2018-9455A-78136677 DoS
    • CVE-2018-9436A-79164722 Identificación alta
    • CVE-2018-9454A-78286118 Identificación alta
    • CVE-2018-9448A-79944113 Identificación alta
    • CVE-2018-9453A-78288378 Identificación alta

    2018-08-05 nivel de parche de seguridad

    Vulnerabilidades críticas

    Solo hay tres vulnerabilidades críticas en el nivel de parche 08-05, cada una de las cuales afecta a los componentes de código cerrado de Qualcomm. Estos problemas son (enumerados por CVE y referencia):

    • CVE-2017-18296 A-78240731
    • CVE-2017-18305 A-78239838
    • CVE-2017-18310 A-62211308

    La información sobre los problemas de código cerrado de Qualcomm debe provenir directamente del fabricante.

    Altas vulnerabilidades

    El primer conjunto de vulnerabilidades marcó componentes del kernel de alto impacto. Estos problemas podrían permitir que una aplicación maliciosa instalada localmente ejecute código arbitrario en el contexto de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia, tipo y componente):

    • CVE-2017-18249 A-78283212 EoP F2FS kernel ascendente
    • CVE-2018-9465 A-69164715 Aglutinante EoP de kernel ascendente

    El siguiente grupo de vulnerabilidades elevadas afecta a los componentes de código abierto de Qualcomm y podría dar lugar a la divulgación remota de información. Los errores relacionados son (enumerados por CVE, referencia, referencia de Qualcomm, tipo y componente):

    • CVE-2018-5383 A-79421580 QC-CR#2209635 ID de Bluetooth
    • CVE-2017-13077 A-78284758 QC-CR#2133033 ID de WLAN
    • CVE-2017-18281 A-78242172 QC-CR#856388 Identificación de video
    • CVE-2018-11260 A-72997254 QC-CR#2204872 EoP de WLAN

    Finalmente, hay una serie de vulnerabilidades, marcadas como Altas, que afectan a los componentes de código cerrado de Qualcomm. Para obtener más información sobre estos problemas, consulte los canales oficiales de Qualcomm. Los errores relacionados son (enumerados por CVE y referencia:

    • CVE-2017-18295 A-78240386
    • CVE-2017-18283 A-78240411
    • CVE-2017-18294 A-78240247
    • CVE-2017-18293 A-78240316
    • CVE-2017-18292 A-78241027
    • CVE-2017-18298 A-78239976
    • CVE-2017-18299 A-78240418
    • CVE-2017-18304 A-78239975
    • CVE-2017-18303 A-78240396
    • CVE-2017-18301 A-78238455
    • CVE-2017-18302 A-78239233
    • CVE-2017-18300 A-78239508
    • CVE-2017-18297 A-78240275
    • CVE-2017-18280 A-78285512
    • CVE-2017-18282 A-78241591
    • CVE-2017-18309 A-73539064
    • CVE-2017-18308 A-73539310
    • CVE-2018-11305 A-72951032
    • CVE-2018-11258 A-72951054

    Mejora y actualiza

    Los desarrolladores trabajarán diligentemente para solucionar las vulnerabilidades, pero depende de los usuarios finales asegurarse de que las soluciones lleguen a los dispositivos. Asegúrese no solo de buscar actualizaciones, sino también de aplicarlas tan pronto como estén disponibles.