De Hispasec – Una al Día: Google soluciona 78 vulnerabilidades en Android (04/10/2016)

Google soluciona 78 vulnerabilidades en Android

martes, 4 de octubre de 2016

Google ha publicado el boletín de seguridad Android correspondiente al mes de octubre en el que corrige un total de 78 vulnerabilidades.

android-logoGoogle divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2016-10-01 (“2016-10-01 security patch level“) se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que todos los fabricantes de smartphones Android deberían incluir con mayor prioridad.

En este bloque se solucionan 20 vulnerabilidades, 15 de ellas de gravedad alta y otras cinco de importancia moderada. El problema más frecuente es la elevación de privilegios a través de diferentes componentes, como ServiceManager, Lock Settings Service, Mediaserver, proceso Zygote, APIs framework, Telephony, el servicio de Camara o el acceso por huella dactilar.

Por otra en el nivel de parches de seguridad 2016-10-05 (“2016-10-05 security patch level“) se incluyen vulnerabilidades en controladores y componentes incluidos solo por algunos fabricantes en sus versiones de Android. En este bloque se solucionan 58 fallos en subsistemas del kernel, controladores y componentes OEM. 15 de las vulnerabilidades están consideradas críticas, 25 de gravedad alta, 17 de riesgo medio y una de nivel bajo. Cabe destacar que los componentes Qualcomm, seguido de NVIDIA, son los más afectados.

Las vulnerabilidades críticas incluyen la ejecución remota de código en el decodificador ASN.1 del kernel y en el subsistema de red del kernel, elevación de privilegios a través del controlador de vídeo MediaTek y del controlador de memoria compartida del kernel, así como 11 vulnerabilidades en componentes Qualcomm.

A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Nexus. Actualmente cabe señalar que otros fabricantes como Samsung también están aplicando las actualizaciones con periodicidad. Pero lamentablemente esto no ocurre con todos los fabricantes, por lo que las actualizaciones siguen siendo uno de los puntos débiles de Android.

Más información:

Android Security Bulletin—October 2016

https://source.android.com/security/bulletin/2016-10-01.html#2016-10-01-security-patch-level-vulnerability-details

 

Antonio Ropero

antonior@hispasec.com

Twitter: @aropero

Acerca de Hector Suarez Planas

Es Licenciado en Ciencia de la Computación (3 de julio de 2002). Ha sido Administrador de Red en varias organizaciones, Programador y Analista de Sistemas. Actualmente se desempeña como Administrador de Red del Telecentro Tele Turquino de Santiago de Cuba. Tiene experiencia con sistemas Windows y GNU/Linux, Infraestructura de Redes (Cisco, AlliedTelesis, Netgear y HP ProCurve, Vyatta/VyOS), Servidores tanto físicos como virtuales (plataformas VMWare, Proxmox VE y Xen), Sistemas de Seguridad Informática (Snort/Suricata IDS, appliances AlienVault OSSIM), programador (Delphi, C++ Builder, Perl [poco], Python [algo]), entre otras cosas. Actualmente estoy incursionando en todo lo que tiene relación con Cloud Computing (OpenStack) y Centros de Datos. :-)
Esta entrada fue publicada en Actualizaciones, Android, Google, Movilidad, Seguridad, Sistemas Operativos, Smartphones, Tabletas, Vulnerabilidades. Guarda el enlace permanente.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *