Google
ha publicado el boletín de
seguridad Android
correspondiente al mes de marzo en el que corrige
un total de 107 vulnerabilidades, 35 de ellas calificadas como críticas.
Como es habitual, Google divide
las vulnerabilidades corregidas en dos bloques principales en función de los
componentes afectados. En el nivel de parches de seguridad 2017-03-01
("2017-03-01 security patch level") se encuentran los que afectan al
núcleo de servicios Android, controladores y componentes que todos los
fabricantes de smartphones Android deberían incluir con mayor prioridad.
En este bloque se solucionan 36
vulnerabilidades, 11 de ellas se consideran críticas y podrían permitir la
ejecución remota de código a través de OpenSSL y BoringSSL o de Mediaserver y
de elevación de privilegios en el verificador de recuperacion. Otras 15 de
ellas son de gravedad alta, nueve de importancia moderada y una de riesgo bajo.
Por otra parte en el nivel de
parches de seguridad 2017-03-05 ("2017-03-05 security patch level")
se incluyen vulnerabilidades en controladores y componentes incluidos solo por
algunos fabricantes en sus versiones de Android. En este bloque se solucionan un
total de 71 fallos en subsistemas del kernel, controladores y componentes OEM. 24
de las vulnerabilidades están consideradas críticas, 32 de gravedad alta y 14
de riesgo medio y solo una de importancia baja. Cabe destacar que los
componentes Qualcomm son los más afectados.
Los problemas críticos podrían
permitir la elevación de privilegios a través del componentes MediaTek, del
controlador GPU NVIDIA, del subsistema ION, del driver Wi-Fi Broadcom, del
depurador FIQ del kernel, del controlador GPU Qualcomm, del subsistema de red
del kernel; así como diferentes vulnerabilidades en componentes Qualcomm.
A pesar de las actualizaciones de
Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y
Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros
fabricantes, como Samsung o Blackberry, que también están aplicando las
actualizaciones con periodicidad. En otros casos, la actualización también
incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización.
Lamentablemente esto no ocurre con todos los fabricantes. En la mayoría de los
casos, que la actualización llegue al usuario, si llega, puede alargarse muchos
meses desde su publicación por parte de Google. Por ello, como ya hemos
comentado en múltiples ocasiones las actualizaciones siguen siendo uno de los
puntos débiles de Android.
Más información:
Android Security Bulletin—March
2017
Antonio Ropero
Twitter: @aropero
No hay comentarios:
Publicar un comentario