Junio ​​está reventando por todas partes. Las flores florecen, los árboles florecen, las abejas polinizan y los insectos se arrastran. Por supuesto, Android no es inmune a esta explosión de errores. El boletín de seguridad de junio incluye un sólido equilibrio de vulnerabilidades críticas y elevadas que pueden o no sorprenderlo. Profundicemos en ese boletín para ver de qué se trata.

Antes de sumergirnos en lo que se incluye en el boletín de este mes, siempre es bueno saber qué versión de seguridad está instalada en su dispositivo. Como era de esperar, mi conductor diario, un Essential PH-1, está ejecutando el parche de seguridad más reciente (5 de junio de 2018). Para saber qué nivel de parche está usando, abra Configuración y vaya a Acerca del teléfono. Desplácese hacia abajo hasta que vea el Nivel de parche de seguridad de Android (Figura A).

Figura A

Índice

Terminología

Encontrará diferentes tipos de vulnerabilidades en la lista. Los posibles tipos incluyen:

  • RCE: ejecución remota de código
  • EoP – Elevación de privilegios
  • Identificación - Divulgación de información
  • DoS: denegación de servicio

VER: Política de informes de incidentes de seguridad de la información (Tech Pro Research)

Y ahora sobre los problemas.

2018-06-01 nivel de parche de seguridad

cuestiones críticas

Solo hay 6 vulnerabilidades marcadas como críticas para el 1 de junio. No sorprende que la mitad de ellos estén en Media Framework. Estas vulnerabilidades de RCE están marcadas como críticas porque pueden permitir que un atacante remoto, usando un archivo malicioso, ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE y número de referencia):

  • CVE-2018-9341A-74016277
  • CVE-2018-5146 A-77284393*
  • CVE-2017-13230A-65483665

Las 3 vulnerabilidades críticas restantes están todas relacionadas con el sistema y son del mismo tipo que los problemas que afectan a Media Framework (RCE). Esto significa que estas vulnerabilidades se marcan como críticas porque pueden permitir que un atacante remoto, utilizando un archivo malicioso, ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE y número de referencia):

  • CVE-2018-9355A-74016921
  • CVE-2018-9356A-74950468
  • CVE-2018-9357A-74947856

Asuntos importantes

A continuación se encuentran las vulnerabilidades marcadas como altas para el 1 de junio. Hay 14 problemas de este tipo, asociados con tres sistemas diferentes. Los primeros afectan al Framework de Android. Estos problemas se etiquetan como Altos porque podrían permitir que una aplicación malintencionada instalada localmente omita la interacción del usuario para obtener permisos adicionales. Los errores relacionados son (enumerados por CVE, referencia y tipo):

  • CVE-2018-9338A-71361168 EoP
  • CVE-2018-9339A-71508348 EoP
  • DNI CVE-2017-13227A-69981710
  • CVE-ID-2018-9340A-71360999

Luego volvemos a nuestro querido viejo amigo, Media Framework. Hay 5 vulnerabilidades, marcadas como Altas, que afectan a este sistema. Cada uno de ellos está marcado como tal, porque el más grave podría permitir que un atacante remoto, utilizando un archivo malicioso, ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia y tipo):

  • CVE-2018-9344A-73172817 EoP
  • CVE-ID-2018-9345A-77238250
  • CVE-ID-2018-9346A-77238762
  • CVE-2018-9347A-68664359 DoS
  • CVE-2018-9348A-68953854 DoS

El sistema Android no estaba libre y libre de problemas marcados como Alto. De hecho, hay cinco vulnerabilidades en esta categoría, la más grave de las cuales podría permitir que un atacante remoto, usando un archivo malicioso, ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia y tipo):

  • CVE-ID-2018-9358A-73172115
  • CVE-ID-2018-9359A-74196706
  • CVE-ID-2018-9360A-74201143
  • DNI CVE-2018-9361A-74202041
  • CVE-2018-9362A-72298611 DoS

VER: Guía de profesionales de TI para la gestión eficaz de parches (PDF gratuito) (TechRepublic

2018-06-05 nivel de parche de seguridad

cuestiones críticas

Hay 6 vulnerabilidades marcadas como críticas para el parche de seguridad del 5 de junio. El primero está asociado con los componentes de LG y podría permitir que un atacante local eluda los requisitos de interacción del usuario para acceder a permisos adicionales. El error asociado se enumera por CVE, referencia y tipo):

  • CVE-2018-9364 A-69163111*EoP

También hay una única vulnerabilidad crítica asociada con un componente de MediaTek. Este problema podría permitir que un atacante remoto ejecute código arbitrario en el contexto de la base informática de confianza (que incluye hardware, firmware y/o software). El error relacionado es (enumerado por CVE, referencia, tipo y componente):

  • CVE-2018-9373 A-71867247* M-ALPS03740330 EoP Mediatek WLAN TDLS

Los problemas críticos restantes están todos en varios componentes de Qualcomm y podrían permitir que un atacante local eluda la interacción del usuario para acceder a permisos adicionales. Los errores relacionados son (enumerados por CVE, referencia, referencia de Qualcomm, tipo y componente):

  • CVE-2017-18158 A-68992400 QC-CR#2104056 Cargador de arranque EoP
  • CVE-2018-3569 A-74237215 QC-CR#2161920 Host WLAN EoP
  • CVE-2017-18155 A-66734153*QC-CR#1050893 Códec de hardware RCE
  • CVE-2018-5854 A-71800779 QC-CR#2183877 Cargador de arranque EoP

Asuntos importantes

Y ahora nos enfocamos en las vulnerabilidades marcadas como Altas. Los primeros cuatro están asociados con varios componentes del kernel y podrían permitir que una aplicación maliciosa local ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia, tipo y componente):

  • CVE-2018-9363 A-65853588* Bluetooth EoP
  • CVE-2017-17806 A-71752561 (kernel ascendente) Crypto EoP
  • CVE-2017-17807 A-71751178 (kernel ascendente) Llavero EoP
  • CVE-2017-17558 A-71751622 (kernel ascendente) EoP USB

Se descubrió que Media Framework tenía un único problema elevado, que podría permitir que una aplicación malintencionada instalada localmente omita la interacción del usuario para obtener acceso a permisos adicionales. El error asociado es (enumerado por CVE, referencia y tipo):

  • CVE-2018-9409 A-63144992* EoP Alto

Los componentes de MediaTek se vieron afectados por ocho vulnerabilidades marcadas como Altas, la más grave de las cuales podría permitir que un atacante remoto ejecute código arbitrario en el contexto de la Base informática confiable. Los errores relacionados son (enumerados por CVE, referencia, tipo y componente):

  • CVE-2018-9366 A-72314499* M-ALPS03762526 EoP IMSA
  • CVE-2018-9367 A-72314219* M-ALPS03762692 Herramienta de cámara CCAP EoP
  • CVE-2018-9368 A-70727446* M-ALPS03730693 EoP mtksocaudio
  • CVE-2018-9369 A-70514573* M-ALPS03666161 Cargador de arranque EoP
  • CVE-2018-9370 A-70515281* M-ALPS03693488 Cargador de arranque EoP
  • CVE-2018-9371 A-70515752* M-ALPS03683903 Cargador de arranque EoP
  • CVE-2018-9372 A-70730215* M-ALPS03676237 Cargador de arranque EoP

A continuación, vemos a NVIDIA con tres vulnerabilidades marcadas como Altas, cada una de las cuales podría permitir que una aplicación maliciosa instalada localmente ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia, tipo y componente):

  • CVE-2017-6290 A-69559414* N-200373895 EoP TLK TrustZone
  • CVE-2017-6294 A-69316825* N-200369095 EoP NVIDIA Tegra X1 TZ
  • CVE-2017-6292 A-69480285* N-200373888 EoP TLZ TrustZone

Finalmente, volvemos a Qualcomm, liderando el ranking con nueve vulnerabilidades marcadas como Altas. Cada una de estas vulnerabilidades podría permitir que un atacante local pase por alto la interacción del usuario y, por lo tanto, obtenga acceso a permisos adicionales. Los errores relacionados son (enumerados por CVE, referencia, referencia de Qualcomm, tipo y componente):

  • CVE-2017-13077 A-63165064* EoP de WLAN
  • CVE-2018-5896 A-70399602*QC-CR#2163793 Controlador de ID de diagnóstico
  • CVE-2018-5829 A-74237546 QC-CR#2151241 ID de WLAN
  • CVE-2017-18159 A-68992405 QC-CR#2105697 Cargador de arranque EoP
  • CVE-2017-18158 A-67782849*QC-CR#2104056 Cargador de arranque EoP
  • CVE-2018-5835 A-74237148 QC-CR#2153553 Host WLAN EoP
  • CVE-2018-5834 A-74237804 QC-CR#2153326 EoP WLAN
  • CVE-2018-5831 A-74237606 QC-CR#2161310 Controlador de GPU EoP
  • CVE-2018-5830 A-74237532 QC-CR#2157917 Host WLAN EoP

Mejora y actualiza

Los desarrolladores trabajarán diligentemente para solucionar las vulnerabilidades, pero depende de los usuarios finales asegurarse de que las soluciones lleguen a los dispositivos. Asegúrese no solo de buscar actualizaciones, sino también de aplicarlas tan pronto como estén disponibles.

Ver también:

  • Boletín de seguridad de Android de abril de 2018: lo que necesita saber (TechRepublic)
  • Boletín de seguridad de Android de marzo de 2018: lo que necesita saber (TechRepublic)
  • Boletín de seguridad de Android de febrero de 2018: lo que necesita saber (TechRepublic)
  • Boletín de seguridad de Android de enero de 2018: lo que necesita saber (TechRepublic)
  • Boletín de seguridad de Android de noviembre de 2017: lo que necesita saber (TechRepublic)
  • Google Cloud amplía el programa Android Enterprise, hasta 39 dispositivos (ZDNet)
  • Kit de inicio de seguridad y privacidad de Android (Download.com)