martes, 4 de octubre de 2016

Google soluciona 78 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de octubre en el que corrige un total de 78 vulnerabilidades.

Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2016-10-01 ("2016-10-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.

En este bloque se solucionan 20 vulnerabilidades, 15 de ellas de gravedad alta y otras cinco de importancia moderada. El problema más frecuente es la elevación de privilegios a través de diferentes componentes, como ServiceManager, Lock Settings Service, Mediaserver, proceso Zygote, APIs framework, Telephony, el servicio de Camara o el acceso por huella dactilar.

Por otra en el nivel de parches de seguridad 2016-10-05 ("2016-10-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan 58 fallos en subsistemas del kernel, controladores y componentes OEM. 15 de las vulnerabilidades están consideradas críticas, 25 de gravedad alta, 17 de riesgo medio y una de nivel bajo. Cabe destacar que los componentes Qualcomm, seguido de NVIDIA, son los más afectados.

Las vulnerabilidades críticas incluyen la ejecución remota de código en el decodificador ASN.1 del kernel y en el subsistema de red del kernel, elevación de privilegios a través del controlador de vídeo MediaTek y del controlador de memoria compartida del kernel, así como 11 vulnerabilidades en componentes Qualcomm.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Nexus. Actualmente cabe señalar que otros fabricantes como Samsung también están aplicando las actualizaciones con periodicidad. Pero lamentablemente esto no ocurre con todos los fabricantes, por lo que las actualizaciones siguen siendo uno de los puntos débiles de Android.

Más información:

Android Security Bulletin—October 2016
https://source.android.com/security/bulletin/2016-10-01.html#2016-10-01-security-patch-level-vulnerability-details





Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Etiquetas: , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017