Se han lanzado actualizaciones de seguridad sobre múltiples vulnerabilidades que afectan a Google Android, que permitirían a un atacante realizar escalamiento de privilegios, ejecución remota de código (RCE), denegación de servicio (DoS), entre otros.
Las vulnerabilidades reportadas se componen de 8 (ocho) de severidad “Crítica” y 51 (cincuenta y uno) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2022-22088, de severidad “crítica”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en los componentes de Qualcomm de Android. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
- CVE-2022-20461, de severidad “alta”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el componente Bluetooth Low Energy (BLE) de Android. Esto permitiría a un atacante realizar escalamiento de privilegios en el sistema afectado.
- CVE-2022-20235, de severidad “alta”, sin puntuación asignada aún. Esta vulnerabilidad se debe a una falla de seguridad en el componente Imagination Technologies de Android. Esto permitiría a un atacante realizar ejecución remota de código (RCE) en el sistema afectado.
Para visualizar la lista detallada de las vulnerabilidades subsanadas, ingresar al siguiente enlace.
Las versiones de Android afectadas son:
- Android Open Source Project (AOSP) 10, 11, 12, 12L y 13.
Recomendamos instalar las actualizaciones correspondientes provistas por el fabricante, mediante la siguiente guía:
Referencias:
- https://www.incibe-cert.es/alerta-temprana/avisos-seguridad/boletin-seguridad-android-enero-2023
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-22088
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20461
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-20235
- https://source.android.com/docs/security/bulletin/2023-01-01