Si hace unos días
Apple solucionaba entre una gran cantidad de parches, la importante
vulnerabilidad en el protocolo WPA2, KRACKS, Google ha hecho lo mismo en su
plataforma Android, publicando un nuevo boletín de seguridad y facilitando un
numeroso conjunto de parches que corrigen hasta 31 vulnerabilidades distintas,
nueve de ellas de nivel crítico.
Para facilitar la
tarea de despliegue de los mismos entre los diferentes partners, Google ha
publicado 3 boletines conjuntos.
En concreto, el
boletín 2017-11-01 se centra en las vulnerabilidades corregidas en Framework,
Media Framework y System, ya que 6 de ellas permitirían la ejecución remota de
código.
En cambio, en el
2017-11-05 se corrigen aquellas presentes en los componentes del Kernel,
MediaTek, Nvidia y sobre todo Qualcomm, apartado que adolece de las
vulnerabilidades más críticas, relacionadas con el módulo WLAN y que han
recibido 3 CVEs (CVE-2017-11013, CVE-2017-11014, CVE-2017-11015) por ejecución
remota de código.
Estas
vulnerabilidades fueron reportadas y analizadas en su blog por el investigador
y desarrollador Scott Bauer (@scottybauer1), centradas en el controlador WiFi
qcacld de Qualcomm/Atheros, y afectando a los dispositivos Pixel y Nexus 5x.
En un extenso desarrollo,
Bauer alerta de un total de 8 vulnerabilidades, centrándose sobre todo en la
vulnerabilidad más importante (CVE-2017-11013) de ejecución remota de código,
pero explica que otras dos vulnerabilidades remotas quedan todavía por ser
corregidas (Bug #7 y Bug #8), aunque están planificadas por Google.
Finalmente, en el
boletín 2017-11-06 se solucionan hasta 9 vulnerabilidades de elevación de
privilegios, relacionadas con el ataque KRACKs y que, en el caso de Android, el
atacante sería capaz de reinstalar una clave en uso, e incluso forzar una clave
nula (all-zero encryption key).
Estas actualizaciones
están ya disponibles en todos los dispositivos Android de Google compatibles,
así como en las diferentes actualizaciones de los fabricantes mediante OTA. Como
siempre, recomendamos encarecidamente aplicar las mismas en cuanto estén
disponibles.
Más información:
- Android Security Bulletin—November 2017 https://source.android.com/security/bulletin/2017-11-01
- Please Stop Naming Vulnerabilities: Exploring 6 Previously Unknown Remote Kernel Bugs Affecting Android Phones https://pleasestopnamingvulnerabilities.com/
Fuente: Hispasec.com
