viernes, 6 de enero de 2017

Google soluciona 95 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de enero en el que corrige un total de 95 vulnerabilidades, 29 de ellas calificadas como críticas.

Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-01-01 ("2017-01-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.

En este bloque se solucionan 23 vulnerabilidades, tan solo una de ellas se considera crítica y podría permitir la ejecución remota de código en MediaServer. Otras 14 de ellas son de gravedad alta y otras ocho de importancia moderada. Los problemas más graves se refieren a vulnerabilidades de ejecución remota de código en MediaServer, en Framesequence, Framework APIs, Audioserver, libnl o en el almacenamiento externo.

Por otra en el nivel de parches de seguridad 2017-01-05 ("2017-01-05 security patch level") se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan 72 fallos en subsistemas del kernel, controladores y componentes OEM. 28 de las vulnerabilidades están consideradas críticas, 27 de gravedad alta y 17 de riesgo medio. Cabe destacar que los componentes NVIDIA y Qualcomm son los más afectados.

Los problemas críticos se tratan principalmente de vulnerabilidades de elevación de privilegios, a través del subsistema de memoria del kernel, del sistema de archivos del kernel, del controlador MediaTek y 11 a través del controlador NVIDIA GPU. También hay otros 10 fallos en componentes Qualcomm.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung, que también están aplicando las actualizaciones con periodicidad. En otros casos, la actualización también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los casos, que la actualización llegue al usuario, si llega, puede alargarse muchos meses desde su publicación por parte de Google. Por ello, como ya hemos comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles de Android.

Más información:

Android Security Bulletin—January 2017
https://source.android.com/security/bulletin/2017-01-01.html





Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Etiquetas: ,

1 comentario:

  1. NetVicious9 de enero de 2017 a las 8:55

    Blackberry también suele publicar estas actualizaciones a los pocos días en sus terminales con Android, ya que las actualizaciones no dependen de la compañia de telefonía móvil.

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017