Google
ha publicado el boletín de seguridad Android correspondiente al mes de
diciembre en el que corrige un total de 74 vulnerabilidades, 11 de ellas
calificadas como críticas.
Google
divide las vulnerabilidades corregidas en dos bloques principales en función de
los componentes afectados. En el nivel de parches de seguridad 2016-12-01
("2016-12-01 security patch level") se encuentran los que afectan al
núcleo de servicios Android, controladores y componentes que todos los
fabricantes de smartphones Android deberían incluir con mayor prioridad.
En
este bloque se solucionan 16 vulnerabilidades, 10 de ellas de gravedad alta y
otras seis de importancia moderada. Los problemas más graves se refieren a tres
vulnerabilidades de ejecución remota de código en Curl y LibCurl y otra en
Framesequence, también hay elevación de privilegios a través de libziparchive.
Por
otra en el nivel de parches de seguridad 2016-10-05 ("2016-10-05 security
patch level") se incluyen vulnerabilidades en controladores y componentes
incluidos solo por algunos fabricantes en sus versiones de Android. En este
bloque se solucionan 58 fallos en subsistemas del kernel, controladores y
componentes OEM. 11 de las vulnerabilidades están consideradas críticas, 33 de
gravedad alta y 14 de riesgo medio. Cabe destacar que los componentes NVIDIA,
seguido de Qualcomm, son los más afectados.
Sin
duda, el más importante de los parches críticos incluidos en esta actualización
se refiere a la vulnerabilidad conocida como Dirty COW (CVE-2016-5195). Una vulnerabilidad
de elevación de privilegios en el kernel de Linux, que también afecta al
subsistema de memoria del kernel de Android. Lo que más agrava el problema es
que además se conocen exploits públicos.
Otras
vulnerabilidades críticas incluyen elevaciones de privilegios a través de los
controladores NVIDIA, en el driver kernel ION o en el propio kernel, así como
vulnerabilidades en componentes Qualcomm.
A
pesar de las actualizaciones de Google para Android, estas solo llegan
puntualmente a los dispositivos Nexus, los propios de Google. Es destacable el
esfuerzo realizado por otros fabricantes, como Samsung, que también están
aplicando las actualizaciones con periodicidad. En otros casos, la
actualización también incluye a las operadoras de telefonía, lo cual alarga aun
más el proceso de actualización. Lamentablemente esto no ocurre con todos los
fabricantes. En la mayoría de los casos, que la actualización llegue al
usuario, si llega, puede alargarse muchos meses desde su publicación por parte
de Google. Por ello, como ya hemos comentado en múltiples ocasiones las
actualizaciones siguen siendo uno de los puntos débiles de Android.
Más
información:
• Android Security
Bulletin—December 2016 https://source.android.com/security/bulletin/2016-12-01.html
Fuente:
Hispasec