Android lanzó una nueva lista de vulnerabilidades de seguridad para Android 11, 12 y 13 en noviembre. Además de una brecha crítica, también hay otras 14 brechas altamente peligrosas. El boletín de seguridad advierte sobre vulnerabilidades adicionales, dependiendo de si los componentes Arm, MediaTek o Qualcomm están instalados en el dispositivo móvil.
El boletín de seguridad de Google de noviembre de 2023 es preocupantemente largo. Sin embargo, las vulnerabilidades de seguridad enumeradas allí no se aplican a todos los dispositivos Android, incluso si utilizan Android 11, 12 o 13. Pero incluso entre las vulnerabilidades generalmente válidas no sólo hay una brecha crítica sino también 14 brechas altamente peligrosas.
Según Google, la vulnerabilidad crítica CVE-2023-40113 es especialmente amenazadora porque afecta al sistema. Un atacante no debería necesitar ningún derecho de ejecución adicional para su ataque y, por tanto, debería poder acceder a datos que estén realmente protegidos. Las otras 14 lagunas altamente peligrosas podrían permitir una ampliación de derechos o la divulgación de información en el marco.
Vulnerabilidades adicionales debido a componentes Arm, MediaTek o Qualcomm
El boletín de seguridad de noviembre de 2023 enumera más vulnerabilidades si se instalan componentes Arm, MediaTek o Qualcomm en un dispositivo Android. Se les aplica el nivel de parche 2023-11-05, que normalmente se intercepta mediante los parches de seguridad de los fabricantes del dispositivo. En Arm esta es una brecha muy peligrosa, en MediaTek es seis.
Hay 15 vulnerabilidades en Qualcomm, 4 de las cuales se consideran críticas en el área de componentes de código cerrado: CVE-2023-21671, CVE-2023-22388, CVE-2023-28574, CVE-2023-33045. La explotación exitosa de vulnerabilidades críticas podría permitir una escalada de privilegios. Dependiendo de los privilegios asociados con el componente explotado, un atacante podría instalar programas, ver, cambiar, eliminar datos o incluso crear una nueva cuenta con todos los derechos.
Más en Android.com