domingo, 7 de mayo de 2017

Google soluciona 118 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de mayo en el que corrige un total de 118 vulnerabilidades, 29 de ellas calificadas como críticas.

Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-05-01 ("2017-05-01 security patch level") se solucionan 20 vulnerabilidades, seis de ellas se consideran críticas y podrían permitir la ejecución remota de código a través de Mediaserver mediante diferentes medios, incluyendo correo, navegación web y MMS al tratar archivos multimedia. Otras ocho de ellas son de gravedad alta, cinco de importancia moderada y una baja.

Por otra parte en el nivel de parches de seguridad 2017-05-05 ("2017-05-05 security patch level") se solucionan un total de 98 fallos en subsistemas del kernel, controladores y componentes OEM. 23 de las vulnerabilidades están consideradas críticas, 59 de gravedad alta y 16 de riesgo medio. Cabe destacar que los componentes Qualcomm son los más afectados.

Los problemas críticos podrían permitir la ejecución remota de código por vulnerabilidades en GIBLIB y libxml2. También incluyen vulnerabilidades de elevación de privilegios en los controladores táctiles MediaTek, en el subsistema de sonido del kernel, en los bootloader de Qualcomm y Motorola, en el controlador de vídeo NVIDIA; así como diferentes vulnerabilidades en componentes Qualcomm.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. Pero esto no ocurre en todos los casos, lamentablemente el proceso de actualización de Android en muchos casos también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Por ello, como ya hemos comentado en múltiples ocasiones que las actualizaciones lleguen a todos los usuarios sigue siendo uno de los principales puntos débiles de Android.

Más información:

Android Security Bulletin—May 2017




Antonio Ropero
Twitter: @aropero