Google
ha publicado el boletín de seguridad Android
correspondiente al mes de diciembre en el que corrige un total de 74 vulnerabilidades, 11 de ellas
calificadas como críticas.
Google divide las
vulnerabilidades corregidas en dos bloques principales en función de los
componentes afectados. En el nivel de parches de seguridad 2016-12-01 ("2016-12-01 security patch level")
se encuentran los que afectan al núcleo de servicios Android, controladores y
componentes que todos los fabricantes de smartphones Android deberían incluir
con mayor prioridad.
En este bloque se solucionan 16
vulnerabilidades, 10 de ellas de gravedad alta y otras seis de importancia
moderada. Los problemas más graves se refieren a tres vulnerabilidades de ejecución
remota de código en Curl y LibCurl y otra en Framesequence, también hay elevación
de privilegios a través de libziparchive.
Por otra en el nivel de parches
de seguridad 2016-10-05 ("2016-10-05
security patch level") se incluyen vulnerabilidades en controladores y
componentes incluidos solo por algunos fabricantes en sus versiones de Android.
En este bloque se solucionan 58 fallos en subsistemas del kernel, controladores
y componentes OEM. 11 de las vulnerabilidades están consideradas críticas, 33
de gravedad alta y 14 de riesgo medio. Cabe destacar que los componentes NVIDIA,
seguido de Qualcomm, son los más afectados.
Sin duda, el más importante de
los parches críticos incluidos en esta actualización se refiere a la
vulnerabilidad conocida como Dirty
COW (CVE-2016-5195).
Una vulnerabilidad de elevación de privilegios en el kernel de Linux, que
también afecta al subsistema de memoria del kernel de Android. Lo que más
agrava el problema es que además se conocen exploits públicos.
Otras vulnerabilidades críticas
incluyen elevaciones de privilegios a través de los controladores NVIDIA, en el
driver kernel ION o en el propio kernel, así como vulnerabilidades en
componentes Qualcomm.
A pesar de las actualizaciones de
Google para Android, estas solo llegan puntualmente a los dispositivos Nexus,
los propios de Google. Es destacable el esfuerzo realizado por otros
fabricantes, como Samsung, que también están aplicando las actualizaciones con
periodicidad. En otros casos, la actualización también incluye a las operadoras
de telefonía, lo cual alarga aun más el proceso de actualización. Lamentablemente
esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la
actualización llegue al usuario, si llega, puede alargarse muchos meses desde su
publicación por parte de Google. Por ello, como ya hemos comentado en múltiples
ocasiones las actualizaciones siguen
siendo uno de los puntos débiles de Android.
Más información:
Android Security
Bulletin—December 2016
una-al-dia (21/10/2016) Elevación
de privilegios en el kernel de Linux
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario