miércoles, 8 de noviembre de 2017

Google corrige también la vulnerabilidad KRACK en sus boletines de Android

Si hace unos días Apple solucionaba entre una gran cantidad de parches, la importante vulnerabilidad en el protocolo WPA2, KRACKS, Google ha hecho lo mismo en su plataforma Android, publicando un nuevo boletín de seguridad y facilitando un numeroso conjunto de parches que corrigen hasta 31 vulnerabilidades distintas, nueve de ellas de nivel crítico

Para facilitar la tarea de despliegue de los mismos entre los diferentes partners, Google ha publicado 3 boletines conjuntos.

En concreto, el boletín 2017-11-01 se centra en las vulnerabilidades corregidas en Framework, Media Framework y System, ya que 6 de ellas permitirían la ejecución remota de código.
En cambio, en el 2017-11-05 se corrigen aquellas presentes en los componentes del Kernel, MediaTek, Nvidia y sobre todo Qualcomm, apartado que adolece de las vulnerabilidades más críticas, relacionadas con el módulo WLAN y que han recibido 3 CVEs (CVE-2017-11013, CVE-2017-11014, CVE-2017-11015) por ejecución remota de código.
Estas vulnerabilidades fueron reportadas y analizadas en su blog por el investigador y desarrollador Scott Bauer (@scottybauer1), centradas en el controlador WiFi qcacld de Qualcomm/Atheros, y afectando a los dispositivos Pixel y Nexus 5x. 
En un extenso desarrolloBauer alerta de un total de 8 vulnerabilidades, centrándose sobre todo en la vulnerabilidad más importante (CVE-2017-11013) de ejecución remota de código, pero explica que otras dos vulnerabilidades remotas quedan todavía por ser corregidas (Bug #7 y Bug #8), aunque están planificadas por Google.
Finalmente, en el boletín 2017-11-06 se solucionan hasta 9 vulnerabilidades de elevación de privilegios, relacionadas con el ataque KRACKs y que, en el caso de Android, el atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave nula (all-zero encryption key).

Estas actualizaciones están ya disponibles en todos los dispositivos Android de Google compatibles, así como en las diferentes actualizaciones de los fabricantes mediante OTA. Como siempre, recomendamos encarecidamente aplicar las mismas en cuanto estén disponibles.


José Mesa
@jsmesa
Más información:

Android Security Bulletin—November 2017 
https://source.android.com/security/bulletin/2017-11-01

Please Stop Naming Vulnerabilities: Exploring 6 Previously Unknown Remote Kernel Bugs Affecting Android Phones 
https://pleasestopnamingvulnerabilities.com/