Google corrige varias vulnerabilidades críticas en su actualización mensual

Google ha corregido una vulnerabilidad crítica en el componente “Media framework”, encargado de la gestión del contenido multimedia, que de ser explotado permitiría ataques de ejecución remota de código.

En total, se han corregido fallos asociados a 53 CVEs como parte de la actualización de seguridad mensual de Android, liberada el pasado martes. De estos, 22 corresponden a Qualcomm, cuyos chipsets representan una buena parte de la cuota de mercado en estos dispositivos.

El más grave de estos problemas es una vulnerabilidad de seguridad crítica en el componente Media Framework que podría permitir a un atacante remoto que utilice un archivo especialmente diseñado para ejecutar código arbitrario dentro del contexto de un proceso privilegiado.

Esta vulnerabilidad crítica, con CVE-2020-0245, afecta principalmente a las versiones 8, 8.1 y 9 de Android y permitiría la ejecución de código, aunque se rebaja su impacto en Android 10, limitándose a un fallo de revelación de información (Information disclosure).

Otros dos fallos críticos fueron corregidos en el componente de sistema, con CVE-2020-0380 y CVE-2020-0396, que afectan por igual a las versiones 8 y 10 del sistema operativo. De acuerdo con el boletín de Google, su explotación “podría permitir a un atacante remoto que utilice una transmisión especialmente diseñada para ejecutar código arbitrario dentro del contexto de un proceso privilegiado”

La distribución de estas actualizaciones de seguridad depende de cada fabricante y el estado de soporte de cada modelo de dispositivo. Si bien se están produciendo avances en la gestión de estas actualizaciones de seguridad recurrentes, es más que probable que una buena parte de los dispositivos de terceros, o ya fuera de su periodo de soporte, se queden sin estas correcciones.

Referencias
https://threatpost.com/google-critical-bug-android/159086/
https://source.android.com/security/bulletin/2020-09-01