Imagen: Jack Wallen

Si no hubiera sido por los componentes de terceros, el Boletín de seguridad de Android de agosto habría sido el primer informe publicado con una sola vulnerabilidad crítica encontrada. Sin embargo, con la inclusión de los componentes de Broadcom y Qualcomm, hay siete en total.

Echemos un vistazo a los problemas críticos e importantes descubiertos en el informe más reciente.

Antes de sumergirnos en lo que se incluye en el boletín de seguridad de Android de este mes, siempre es bueno saber qué versión de seguridad está instalada en su dispositivo. Mientras probé las aguas de Android Q Beta 6, no sorprende que mi controlador diario, un Pixel 3, esté ejecutando un parche de seguridad actual (1 de agosto de 2019).

VER: Seguridad de Windows 10: una guía para propietarios de empresas (Premium de TechRepublic)

Para averiguar qué nivel de parche está utilizando, abra Configuración y vaya a Seguridad. En Actualización de seguridad, encontrará su nivel de parche de seguridad (Figura A).

Índice
  • Terminología
  • Nivel de actualización a partir del 01/08/2019
  • Asuntos importantes
  • Nivel de actualización a partir del 08/05/2019
  • Terminología

    Encontrará diferentes tipos de vulnerabilidades en la lista. Los posibles tipos incluyen:

    • RCE—Ejecución remota de código
    • EoP—Elevación de privilegios
    • Identificación—Divulgación de información
    • DoS: denegación de servicio

    Nivel de actualización a partir del 01/08/2019

    fallas criticas

    Este nivel de parche incluía el único problema crítico que no era de terceros. Esta vulnerabilidad en particular se ha encontrado en el sistema y se ha marcado como tal porque podría permitir que un atacante remoto, utilizando un archivo de configuración automática de proxy (PAC) malicioso, ejecute código arbitrario como parte de un proceso privilegiado. El error asociado (enumerado por CVE, referencia y tipo) es:

    • CVE-2019-2130 A-132073833 RCE

    Asuntos importantes

    El primer problema marcado como elevado afecta el entorno de tiempo de ejecución de Android y se marca así porque podría permitir que un atacante local omita los requisitos de interacción del usuario para acceder a permisos adicionales en un dispositivo. El error asociado (enumerado por CVE, referencia y tipo) es:

    • CVE-2019-2120 A-130821293 EoP

    Hay dos cuestiones, marcadas como altas, que afectan al marco. Estas vulnerabilidades están marcadas como tales porque podrían permitir que las aplicaciones maliciosas instaladas localmente ejecuten código arbitrario como parte de un proceso privilegiado en un dispositivo. Los errores relacionados (enumerados por CVE, referencia y tipo) son:

    • CVE-2019-2121 A-131105245 EoP
    • CVE-2019-2122 A-127605586 EoP

    A continuación, encontramos tres vulnerabilidades, marcadas como altas, en el marco de los medios. Estos problemas se marcan como tales porque podrían permitir que un atacante remoto, usando un archivo malicioso especialmente diseñado, ejecute código arbitrario en el contexto de un proceso sin privilegios en un dispositivo. Los errores relacionados (enumerados por CVE, referencia y tipo) son:

    • CVE-2019-2126 A-127702368 RCE
    • CVE-2019-2128 A-132647222 EoP
    • CVE-2019-2129 A-124781927 DNI

    Se encontraron varios problemas, marcados como altos, en el sistema. Estos problemas se han marcado como tales porque podrían permitir que un atacante remoto, utilizando un archivo PAC especialmente diseñado, ejecute código arbitrario en el contexto de un proceso privilegiado en un dispositivo. Los errores relacionados (enumerados por CVE, referencia y tipo) son:

    • CVE-2019-2131 A-119115683 EoP
    • CVE-2019-2132 A-130568701 EoP
    • CVE-2019-2133 A-132082342 EoP
    • CVE-2019-2134 A-132083376 EoP
    • DNI CVE-2019-2135 A-125900276
    • DNI CVE-2019-2136 A-132650049
    • CVE-2019-2137 A-132438333 DoS

    Nivel de actualización a partir del 08/05/2019

    cuestiones críticas

    Las únicas vulnerabilidades marcadas como críticas se encontraron en los componentes de Broadcom y Qualcomm. El primero de estos problemas se encontró en el componente Bluetooth de Broadcom y se marcó como tal porque podría permitir que un atacante remoto, mediante transmisión maliciosa, ejecutara código arbitrario como parte de un proceso privilegiado en un dispositivo. El error asociado (enumerado por CVE, referencia y tipo) es:

    • CVE-2019-11516 A-132966035 RCE

    El siguiente problema, marcado como crítico, se encontró en un componente de código abierto de Qualcomm. Los detalles de este problema se pueden encontrar en la alerta de seguridad de Qualcomm correspondiente. El error relacionado (enumerado por CVE, referencia, referencia de Qualcomm y componente) es:

    • CVE-2019-10492 A-132170519 QC-CR#2389432 HLOS

    Hubo dos vulnerabilidades marcadas como altas, encontradas en componentes Qualcomm de código cerrado. Los detalles sobre estos problemas se pueden encontrar en la alerta de seguridad de Qualcomm correspondiente. Los errores relacionados (enumerados por CVE y Referencia) son:

    • CVE-2019-10539 A-135126805
    • CVE-2019-10540 A-135126805

    Asuntos importantes

    El primer problema marcado como elevado se encontró en el marco multimedia y se incluyó como tal porque podría permitir que un atacante local ejecutara código arbitrario en el contexto de un proceso privilegiado en un dispositivo. El error asociado (enumerado por CVE, referencia y tipo) es:

    • CVE-2019-2127 A-124899895 EoP

    El siguiente problema importante se ha encontrado en el sistema y se ha marcado como tal, ya que podría permitir un ataque de proximidad para acceder a los datos del dispositivo. El error asociado (enumerado por CVE, referencia y tipo) es:

    • DNI CVE-2019-9506 A-124301137

    Se encontraron cuatro problemas, marcados como altos, en los componentes de código abierto de Qualcomm. Los detalles de estos problemas se pueden encontrar en la alerta de seguridad de Qualcomm correspondiente. Los errores relacionados (enumerados por CVE, referencia, referencia de Qualcomm y componente) son:

    • CVE-2019-10509 A-132171185 QC-CR#2359039 BHOST
    • CVE-2019-10510 A-132173563 QC-CR#2305025 BHOST
    • CVE-2019-10499 A-134440231 QC-CR#2398099 MPproc
    • CVE-2019-10538 A-132193791 QC-CR#2448763 WLAN

    Los últimos problemas, marcados como altos, se encontraron en los componentes de código cerrado de Qualcomm. Los detalles de estos problemas se pueden encontrar en la alerta de seguridad de Qualcomm correspondiente. Los errores relacionados (enumerados por CVE y referencia) son:

    • CVE-2019-10489 A-132108754
    • CVE-2019-2294 A-132108952

    Mejora y actualiza

    Los desarrolladores trabajarán diligentemente para solucionar las vulnerabilidades, pero depende de los usuarios finales asegurarse de que las soluciones lleguen a los dispositivos. Asegúrese no solo de buscar actualizaciones, sino también de aplicarlas tan pronto como estén disponibles.