Google lanzó a todos los usuarios y socios su boletín de seguridad de noviembre para el sistema operativo Android, con correcciones para la ejecución crítica de código remoto (RCE) y vulnerabilidades de escalamiento de privilegios
En octubre, la compañía Alphabet deslizó una versión preliminar de este lote de actualizaciones a al menos un usuario de Google Pixel. La actualización por aire (OTA) fue una compilación confidencial diseñada para uso interno.
RCE y EoPs calificados como críticos
Hasta que los fabricantes de teléfonos y los operadores de redes móviles introducen los últimos parches de Android en los puntos finales de los usuarios, un RCE crítico identificado como CVE-2018-9527 afecta a las versiones del sistema operativo 7.0 (Nougat) a 9 (Pie).
Otro RCE clasificado como crítico es CVE-2018-9531 y afecta solo a Android Nougat. Ambas fallas están presentes en el marco de medios del sistema operativo y podrían permitir que un atacante ejecute código arbitrario en el sistema en el contexto de un proceso privilegiado.
Otras vulnerabilidades con el mismo puntaje de severidad son dos errores de escalamiento de privilegios identificados como CVE-2018-9536 y CVE-2018-9537. Impactan el turrón de Android.
Vulnerabilidades de divulgación de información
Una serie de seis fallos de seguridad que podrían explotarse para filtrar información del sistema Android han recibido una alta calificación de severidad.
Se pueden explotar de forma remota y podrían revelar datos a los que normalmente se puede acceder a las aplicaciones instaladas localmente de acuerdo con su manifiesto de permisos.
La mitad de estas fallas afectan a varias versiones de Android (Nougat a través de Pie) y la otra mitad afecta solo a la última revisión del sistema operativo móvil.
Errores en abundancia en los componentes de Qualcomm
Google también enumera 14 problemas de seguridad descubiertos en los componentes de Qualcomm. Más detalles están disponibles en el boletín de seguridad de Qualcomm para noviembre; Tres de ellos fueron calificados con severidad crítica:
CVE-2017-18317 afecta el entorno de ejecución confiable (TEE) y permite eludir las restricciones relacionadas con el módem (bloqueo de la SIM, anulación de la SIM), informa el informe.
CVE-2018-5912 es un desbordamiento de búfer en el componente de video.
CVE-2018-11264 afecta el componente biométrico en múltiples conjuntos de chips Qualcomm. Es un posible desbordamiento de búfer en el código de huella digital.
Bajando la biblioteca libxaac
Google anuncia en este boletín de seguridad de Android que marcó como experimental la biblioteca Libxaac para la compresión y decodificación de medios y que ya no se incluye en las compilaciones de Android de producción.
La razón detrás de esta decisión es el descubrimiento de no menos de 18 problemas de seguridad en la biblioteca. La biblioteca se eliminará de los dispositivos que aún la tengan tan pronto como se ejecute la última actualización de seguridad de Android.
Fecha actualización el 2021-11-08. Fecha publicación el 2018-11-08. Categoría: android Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer