La temporada navideña está sobre nosotros, y Android no es ajeno a la entrega de regalos. Entonces, ¿qué tal algunas vulnerabilidades para celebrar uno o dos días festivos? Esta vez, el boletín de seguridad de Android trae pocas sorpresas, con Media Framework distribuyendo algunas fallas críticas. Sin embargo, el número de vulnerabilidades no es tan malo como en meses anteriores. Hablemos de las vulnerabilidades encontradas en los últimos parches de seguridad de Android.

Antes de sumergirnos en lo que se incluye en el boletín de este mes, siempre es bueno saber qué versión de seguridad está instalada en su dispositivo. Como era de esperar, mi conductor diario, un Pixel 3, está ejecutando un parche de seguridad actualizado (5 de noviembre de 2018).

Para saber qué nivel de parche está usando, abra Configuración y vaya a Acerca del teléfono. Si está utilizando Android Pie, esta ubicación ha sido reemplazada por Configuración | Seguridad y ubicación | Seguridad actualizada. Desplácese hacia abajo y toque la versión de Android que se encuentra en su dispositivo. La ventana resultante (Figura A) revelará su nivel de parche de seguridad.

Figura A

Índice

Terminología

Encontrará diferentes tipos de vulnerabilidades en la lista. Los posibles tipos incluyen:

  • RCE: ejecución remota de código
  • EoP – Elevación de privilegios
  • Identificación - Divulgación de información
  • DoS: denegación de servicio

Y ahora sobre los problemas.

11/01/2018 Nivel de parche de seguridad

cuestiones críticas

Solo hubo cuatro problemas marcados como críticos en el nivel de parche del 1 de noviembre. Cada uno de estos problemas ha sido etiquetado como tal porque podría permitir que un atacante remoto, usando un archivo malicioso, ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia y tipo):

  • CVE-2018-9527A-112159345 RCE
  • CVE-2018-9531A-112661641 RCE
  • CVE-2018-9536A-112662184 EoP
  • CVE-2018-9537A-112891564 EoP

Asuntos importantes

El primer lote de problemas marcados como Alto llegó al Framework. Cada una de estas vulnerabilidades podría permitir que una aplicación maliciosa instalada localmente ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia y tipo):

  • CVE-2018-9522A-112550251 EoP
  • CVE-2018-9524A-34170870 EoP
  • CVE-2018-9525A-111330641 EoP

La siguiente sección de problemas marcados como Alto se encontró en los medios. Estas vulnerabilidades podrían permitir que un atacante remoto, usando un archivo malicioso, ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia y tipo):

  • CVE-2018-9521A-111874331 RCE
  • CVE-2018-9539A-113027383 EoP

Finalmente, hubo cinco asuntos marcados como Altos en el sistema. Estas vulnerabilidades podrían permitir que un atacante remoto acceda a datos a los que solo deberían tener acceso las aplicaciones instaladas localmente. Los errores relacionados son (enumerados por CVE, referencia y tipo):

  • CVE-ID-2018-9540A-111450417
  • CVE-ID-2018-9542A-111896861
  • CVE-ID-2018-9543A-112868088
  • CVE-ID-2018-9544A-113037220
  • CVE-ID-2018-9545A-113111784

2018-05-11 Nivel de parche de seguridad

cuestiones críticas

Los únicos problemas marcados como críticos se encontraron en los componentes de código cerrado de Qualcomm. Estas vulnerabilidades solo se detallan en el boletín/alerta de seguridad de Qualcomm AMSS asociado. Los errores relacionados son (enumerados por CVE y referencia):

  • CVE-2017-18317 A-78244877
  • CVE-2018-5912 A-79420111
  • CVE-2018-11264 A-109677962

Asuntos importantes

El primer grupo de problemas marcado como Alto se encontró en el Marco. Estos problemas podrían permitir que una aplicación maliciosa instalada localmente ejecute código arbitrario en el contexto de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia y tipo):

  • CVE-2018-9523A-112859604 EoP
  • CVE-2018-9526A-112159033 [2] [3] IDENTIFICADOR

El siguiente grupo de problemas marcado como Alto se encontró en los componentes de código abierto de Qualcomm. Las vulnerabilidades podrían permitir que una aplicación maliciosa instalada localmente ejecute código arbitrario como parte de un proceso privilegiado. Los errores relacionados son (enumerados por CVE, referencia, referencia de Qualcomm y componente):

  • CVE-2017-15818 A-68992408 QC-CR#2078580 Ecosistema
  • CVE-2018-11995 A-71501677 QC-CR#2129639 Cargador de arranque
  • CVE-2018-11905 A-112277889 QC-CR#2090797 DSP_Servicios

Finalmente, se descubrió que varios componentes de código cerrado de Qualcomm incluían una serie de problemas marcados como altos. Estas vulnerabilidades solo se detallan en el boletín/alerta de seguridad de Qualcomm AMSS asociado. Los errores relacionados son (enumerados por CVE y referencia):

  • CVE-2016-10502 A-68326808*
  • CVE-2017-18316 A-78240714*
  • CVE-2017-18318 A-78240675*
  • CVE-2017-18315 A-78241957*
  • CVE-2018-11994 A-72950294*
  • CVE-2018-11996 A-74235967*
  • CVE-2018-5870 A-77484722*
  • CVE-2018-5877 A-77484786*
  • CVE-2018-5916 A-79420492*
  • CVE-2018-5917 A-79420096*
  • CVE-2018-11269 A-109678529*

Mejora y actualiza

Los desarrolladores trabajarán diligentemente para solucionar las vulnerabilidades, pero depende de los usuarios finales asegurarse de que las soluciones lleguen a los dispositivos. Asegúrese no solo de buscar actualizaciones, sino también de aplicarlas tan pronto como estén disponibles.