Actualidad

Contacto

Viernes, 14 Junio 2019 10:37

Entelgy Innotec Cert avisa de la publicación de múltiples vulnerabilidades en Android

Este mes de junio se ha hecho público un nuevo boletín de seguridad de Android con la notificación de múltiples vulnerabilidades en dicho sistema. A continuación se detallan las 10 vulnerabilidades con mayor criticidad del mismo con sus respectivos CVEs. Todos ellos disponen de una puntuación superior o igual a 7 (CVSSv2 - NIST):

  • CVE-2019-2091CVE-2019-2092CVE-2019-2098: En diversas funciones de los ficheros DevicePolicyManagerService.java y NotificationManagerService.java, existe una posible falta de verificación de permisos. Esto podría llevar a una escalada local de privilegios, sin necesidad de permisos adicionales.
  • CVE-2019-2093CVE-2019-2094CVE-2019-2099: En varias funciones de los ficheros nlc_dec.cppNuPlayerCCDecoder.cpp y nfa_rw_act.cc, existe una posible escritura fuera de límites debido a una verificación de límites faltantes. Esto podría llevar a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales.
  • CVE-2019-2095: En callGenIDChangeListeners y las funciones relacionadas de SkPixelRef.cpp, existe un posible error "user after free" (acceder a la memoria después de que se haya liberado) originado por una "race condition" (la salida o estado de un proceso es dependiente de una secuencia de eventos que se ejecutan en orden arbitrario y van a trabajar sobre un mismo recurso compartido). Esto podría llevar a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales.
  • CVE-2019-2096: En la función EffectRelease del fichero EffectBundle.cpp, existe una posible corrupción de memoria. Esto podría llevar a una escalada local de privilegios en el servidor de audio sin necesidad de privilegios de ejecución adicionales.
  • CVE-2019-2097: En la función HAliasAnalyzer.Query del fichero hidrogen-alias-analysis.h, existe una posible corrupción de memoria debido a la confusión de tipos. Esto podría llevar a la ejecución remota de código desde una configuración de proxy maliciosa, sin que se necesiten privilegios de ejecución adicionales.
  • CVE-2019-2102: Si un dispositivo BLE (Bluetooth de baja energía) utiliza una llave LTK codificada (Long Term Key), es teóricamente posible que un atacante cercano pueda inyectar de forma remota pulsaciones de teclas en un host de Android emparejado debido al uso incorrecto de criptografía.

En todas las vulnerabilidades detalladas no es necesaria la interacción del usuario para conseguir una explotación exitosa y, a día de hoy, no constan informes de explotación activa o abuso de estos problemas en la red.

Recursos afectados:

  • Android-7.0
  • Android-7.1.1
  • Android-7.1.2
  • Android-8.0
  • Android-8.1
  • Android-9

Recomendaciones:

El CERT de Entelgy Innotec Security recomienda encarecidamente a los usuarios y administradores de sistemas que apliquen los últimos parches de seguridad con el fin de evitar la exposición a ataques externos y la toma de control de los sistemas informáticos.

Tal y como afirma el fabricante en su publicación, todos los partners de Android ya han sido notificados de todos estos problemas con al menos un mes de antelación. Los parches de código fuente para estos problemas están publicados en el repositorio del Proyecto de código abierto de Android (AOSP). En este caso se recomienda comprobar y actualizar la versión de Android en cuanto sea posible.

Consultar la versión y recibir las últimas actualizaciones de Android disponibles:

  • Abrir la aplicación Ajustes del dispositivo.
  • En la parte inferior, abrir Sistema > Ajustes avanzados > Actualización del sistema.
  • Consultar la versión de Android y el nivel del parche de seguridad.

No obstante, hay que tener en cuenta que la programación de las actualizaciones en el sistema operativo Android varía en función del dispositivo, su fabricante y el operador de telefonía móvil.

Referencias:

S5 Box