Google ha lanzado actualizaciones de seguridad sobre 40 vulnerabilidades críticas, que permitirían a un atacante remoto realizar ejecución remota de código (RCE), escalamiento de privilegios, entre otros.
Las vulnerabilidades reportadas se componen de 5 (cinco) de severidad “crítica”, 35 (treinta y cinco) de severidad “Alta”. Las principales se detallan a continuación:
- CVE-2022-20210 de severidad crítica, con una puntuación asignada de 9.4. Esta se debe a una falla que afecta al chipset de teléfonos inteligentes de UNISOC. Un atacante podría enviar un paquete especialmente diseñado para generar denegación de servicio (DoS) en el dispositivo afectado.
- CVE-2022-20006 de severidad alta, con una puntuación asignada de 7.0. Esta se debe a una falla en varias funciones de KeyguardServiceWrapper.java. Esto permitiría a un atacante escalamiento de privilegios si un usuario invitado está habilitado.
Para visualizar la lista completa de las vulnerabilidades subsanadas, acceder a este enlace.
Las versiones afectadas de Android son:
- Framework
- Media Framework
- System
- Pixel
- Qualcomm
- Dispositivos Pixel versiones 5.4.147 y 5.10.66 del soporte a largo plazo (LTS) de Linux
Recomendamos descargar e instalar las actualizaciones provistas por el fabricante en el siguiente enlace:
Referencias:
- https://www.securityweek.com/google-patches-critical-android-vulnerabilities-june-2022-updates
- https://source.android.com/security/bulletin/2022-06-01
- https://nvd.nist.gov/vuln/detail/CVE-2022-20006
- https://nvd.nist.gov/vuln/detail/CVE-2022-20210
- https://support.google.com/pixelphone/answer/4457705#pixel_phones&nexus_devices