Google ha publicado el boletín de
seguridad Android correspondiente al mes de abril en el que corrige un total de
102 vulnerabilidades, 15 de ellas calificadas como críticas.
Resumen de la
actualización
· Como
es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales
en función de los componentes afectados. En el nivel de parches de seguridad
2017-04-01 ("2017-04-01 security patch level") se encuentran los que
afectan al núcleo de servicios Android, controladores y componentes que todos
los fabricantes de smartphones Android deberían incluir con mayor prioridad.
· En
este bloque se solucionan 23 vulnerabilidades, seis de ellas se consideran
críticas y podrían permitir la ejecución remota de código a través de
Mediaserver. Otras nueve de ellas son de gravedad alta y ocho de importancia
moderada.
· Por
otra parte en el nivel de parches de seguridad 2017-04-05 ("2017-04-05
security patch level") se incluyen vulnerabilidades en controladores y
componentes incluidos solo por algunos fabricantes en sus versiones de Android.
En este bloque se solucionan un total de 79 fallos en subsistemas del kernel,
controladores y componentes OEM. 26 de las vulnerabilidades están consideradas
críticas, 38 de gravedad alta y 15 de riesgo medio. Cabe destacar que los
componentes Qualcomm son los más afectados.
· Los
problemas críticos podrían permitir la ejecución remota de código por
vulnerabilidades en el firmware de WiFi de Broadcom (que también ha sido
corregida por Apple para sus dispositivos iOS), en el controlador del motor
criptográfico de Qualcomm y en el subsistema de red del kernel. También
incluyen vulnerabilidades de elevación de privilegios en los controladores
táctiles MediaTek y HTC y en el subsistema ION del kernel; así como diferentes
vulnerabilidades en componentes Qualcomm.
·
A
pesar de las actualizaciones de Google para Android, estas solo llegan
puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es
destacable el esfuerzo realizado por otros fabricantes, como Samsung o
Blackberry, que también están aplicando las actualizaciones con periodicidad.
En otros casos, la actualización también incluye a las operadoras de telefonía,
lo cual alarga aun más el proceso de actualización. Lamentablemente esto no
ocurre con todos los fabricantes. En la mayoría de los casos, que la
actualización llegue al usuario, si llega, puede alargarse muchos meses desde
su publicación por parte de Google. Por ello, como ya hemos comentado en
múltiples ocasiones las actualizaciones siguen siendo uno de los puntos débiles
de Android.
Más información:
·
Android
Security Bulletin—April 2017 https://source.android.com/security/bulletin/2017-04-01.html
Fuente: Hispasec