domingo, 7 de mayo de 2017

Google soluciona 118 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de mayo en el que corrige un total de 118 vulnerabilidades, 29 de ellas calificadas como críticas.

Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-05-01 ("2017-05-01 security patch level") se solucionan 20 vulnerabilidades, seis de ellas se consideran críticas y podrían permitir la ejecución remota de código a través de Mediaserver mediante diferentes medios, incluyendo correo, navegación web y MMS al tratar archivos multimedia. Otras ocho de ellas son de gravedad alta, cinco de importancia moderada y una baja.

Por otra parte en el nivel de parches de seguridad 2017-05-05 ("2017-05-05 security patch level") se solucionan un total de 98 fallos en subsistemas del kernel, controladores y componentes OEM. 23 de las vulnerabilidades están consideradas críticas, 59 de gravedad alta y 16 de riesgo medio. Cabe destacar que los componentes Qualcomm son los más afectados.

Los problemas críticos podrían permitir la ejecución remota de código por vulnerabilidades en GIBLIB y libxml2. También incluyen vulnerabilidades de elevación de privilegios en los controladores táctiles MediaTek, en el subsistema de sonido del kernel, en los bootloader de Qualcomm y Motorola, en el controlador de vídeo NVIDIA; así como diferentes vulnerabilidades en componentes Qualcomm.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. Pero esto no ocurre en todos los casos, lamentablemente el proceso de actualización de Android en muchos casos también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Por ello, como ya hemos comentado en múltiples ocasiones que las actualizaciones lleguen a todos los usuarios sigue siendo uno de los principales puntos débiles de Android.

Más información:

Android Security Bulletin—May 2017
https://source.android.com/security/bulletin/2017-05-01#2017-05-05-details




Antonio Ropero
antonior@hispasec.com
Twitter: @aropero
Etiquetas: ,

2 comentarios:

  1. yo9 de mayo de 2017, 8:11

    Hola a tod@s, gracias una vez más por compartir.

    Tal vez alguien sepa y pueda/quiera compartir como podemos forzar la actualización, si es que se puede, para los que tenemos dispositivos que no son de Google.

    Saludos.

    ResponderEliminar
    Respuestas
    1. Anónimo9 de mayo de 2017, 12:12

      Muy buenas,

      con respecto a los dispositivos de Google (Nexus, Pixel) el ciclo de actualizaciones esta expuesto en el siguiente enlace: https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices

      Con respecto a los dispositivos que no son de Google, los fabricantes deben encargarse de mandar la actualizacion con la string.
      [ro.build.version.security_patch]:[2017-05-01]
      [ro.build.version.security_patch]:[2017-05-05]

      Eliminar

Suscribirse a: Enviar comentarios (Atom)
Hispasec Sistemas | Copyright ©1998-2017