miércoles, 7 de diciembre de 2016

Google soluciona 74 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de diciembre en el que corrige un total de 74 vulnerabilidades, 11 de ellas calificadas como críticas.

Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2016-12-01 ("2016-12-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.

En este bloque se solucionan 16 vulnerabilidades, 10 de ellas de gravedad alta y otras seis de importancia moderada. Los problemas más graves se refieren a tres vulnerabilidades de ejecución remota de código en Curl y LibCurl y otra en Framesequence, también hay elevación de privilegios a través de libziparchive.

Por otra en el nivel de parches de seguridad 2016-10-05 ("2016-10-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan 58 fallos en subsistemas del kernel, controladores y componentes OEM. 11 de las vulnerabilidades están consideradas críticas, 33 de gravedad alta y 14 de riesgo medio. Cabe destacar que los componentes NVIDIA, seguido de Qualcomm, son los más afectados.

Sin duda, el más importante de los parches críticos incluidos en esta actualización se refiere a la vulnerabilidad conocida como Dirty COW (CVE-2016-5195). Una vulnerabilidad de elevación de privilegios en el kernel de Linux, que también afecta al subsistema de memoria del kernel de Android. Lo que más agrava el problema es que además se conocen exploits públicos.

Otras vulnerabilidades críticas incluyen elevaciones de privilegios a través de los controladores NVIDIA, en el driver kernel ION o en el propio kernel, así como vulnerabilidades en componentes Qualcomm.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse muchos meses desde su publicación por parte de Google. Por ello, como ya hemos comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles de Android.

Más información:

Android Security Bulletin—December 2016

una-al-dia (21/10/2016) Elevación de privilegios en el kernel de Linux



Antonio Ropero
Twitter: @aropero