Google ha corregido algunos errores graves en Android, incluidos algunos defectos críticos que podrían permitir a los piratas informáticos ejecutar su propio código en el sistema operativo (SO) móvil.
Al igual que con muchas nuevas versiones de parches, los detalles sobre una de las vulnerabilidades más críticas, CVE-2020-0022, aún no son públicos. Sin embargo, lo que Google nos dice en su aviso de febrero de 2020 es que se encuentra en el componente del sistema de Android, que contiene las aplicaciones del sistema que se envían con el sistema operativo.
Es un error de ejecución de código remoto en el contexto de un proceso privilegiado, que le da al atacante un alto nivel de acceso al sistema operativo, y se aplica a las versiones 8.0, 8.1 y 9 del Proyecto de Código Abierto de Android (AOSP), en el que se basan las diversas implementaciones telefónicas de Android. También parece que hay otra vulnerabilidad menos peligrosa asociada con este error, que hace que un teléfono esté sujeto a un ataque de denegación de servicio (DoS).
El otro error de clasificación crítica es CVE-2020-0023, esta es una vulnerabilidad de divulgación de información y se aplica a la versión 10 del AOSP.
En general, hay 25 errores. Además de seis en el componente del sistema de Android, hay siete en el Marco de Android, que contiene las API de Java para el sistema operativo. Todos los errores de Framework tienen una clasificación alta, y algunos se remontan a la versión 8.0 de AOSP. El peor podría permitir que una aplicación maliciosa obtenga privilegios adicionales al pasar por alto los requisitos de interacción de uso, dijeron los desarrolladores.
Hubo solo dos errores en el nivel del núcleo, ambos clasificados como críticos y ambos conducen a una escalada de privilegios. Un atacante que usa uno de estos errores podría ejecutar código arbitrario en el contexto de un proceso privilegiado, según el aviso.
Finalmente, hubo dos conjuntos de errores relacionados con los componentes de Qualcomm. El primer conjunto involucraba componentes de código abierto. Hubo seis errores aquí, clasificados como críticos, que abarcan la cámara, el núcleo, el subsistema de audio y los gráficos. El segundo conjunto involucraba componentes de código cerrado de Qualcomm. Los cuatro errores fueron calificados como críticos, y Qualcomm les proporcionó un aviso por separado.
El boletín de seguridad de Android contiene dos niveles de parche. El Framework y los grupos del sistema caen bajo el nivel de parche 2020-02-01, mientras que los de kernel y los parches Qualcomm se agrupan bajo 2020-02-05. Google hizo esto para que los fabricantes de equipos originales pudieran corregir un subconjunto de vulnerabilidades que eran similares en todos los dispositivos Android más rápidamente, dijo en el aviso. Sin embargo, los vendedores de dispositivos realmente deberían parchear todos sus lotes, advirtió.
Qué hacer
Entonces, ¿cuándo pueden los usuarios de Android obtener estos parches?
Es probable que los usuarios de los teléfonos Pixel de Google los obtengan primero. La compañía ya ha emitido imágenes de fábrica y actualizaciones por aire (OTA) para teléfonos que se remontan al Pixel 2, incluido el Pixel 2, cuyo soporte finaliza este próximo mes de octubre. Los usuarios de los productos Android de otras compañías deben esperar hasta que completen los parches en sus propias implementaciones de Android.
Fuente: Naked Security
0 Comentarios