Las actualizaciones de seguridad de Android de septiembre de 2023 abordan 33 vulnerabilidades, incluido un error Zero-Day que actualmente se encuentra en la naturaleza. Las actualizaciones de seguridad de Android de este mes están dirigidas a las versiones 11, 12 y 13, y también pueden afectar a versiones anteriores del sistema operativo no compatibles.
Esta vulnerabilidad de día cero de alta gravedad (CVE-2023-35674) es una falla en Android Framework que permite a los atacantes escalar privilegios sin requerir interacción del usuario ni privilegios de ejecución adicionales.
"Hay indicios de que CVE-2023-35674 puede estar bajo explotación limitada y dirigida", dijo Google en un aviso emitido el martes. "La explotación de muchos problemas en Android se vuelve más difícil debido a las mejoras en las versiones más recientes de la plataforma Android. Alentamos a todos los usuarios a actualizar a la última versión de Android siempre que sea posible".
Además de este Zero-Day explotado activamente, las actualizaciones de seguridad de Android de septiembre también abordan tres fallas de seguridad críticas en el componente del sistema Android y una en los componentes de código cerrado de Qualcomm.
Los tres errores críticos del sistema (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) pueden provocar la ejecución remota de código (RCE), sin requerir privilegios de ejecución adicionales ni interacción del usuario. Los atacantes pueden aprovechar estas vulnerabilidades en los ataques RCE cuando las mitigaciones de plataforma y servicio se desactivan con fines de desarrollo o se omiten con éxito.
Qualcomm describe el cuarto error crítico (seguido como CVE-2023-28581) como un problema de corrupción de la memoria del firmware WLAN que podría permitir a atacantes remotos ejecutar código arbitrario, leer información confidencial o provocar fallas del sistema en ataques de baja complejidad que no requieren privilegios o interacción del usuario.
Dos niveles de parches de seguridad
Como de costumbre, Google emitió dos conjuntos de parches para septiembre de 2023, etiquetados como niveles de parche de seguridad 2023-09-01 y 2023-09-05.
El último nivel de parche abarca todas las correcciones de seguridad del conjunto inicial y parches adicionales para componentes de código cerrado y del kernel de terceros que pueden no ser relevantes para todos los dispositivos Android.
El proveedor de su dispositivo puede optar por priorizar la implementación del nivel de parche inicial para acelerar el proceso de actualización, y esta elección no implica necesariamente un mayor riesgo de explotación.
También vale la pena mencionar que, a excepción de los dispositivos Google Pixel, que reciben las actualizaciones de seguridad de cada mes de inmediato, otros proveedores necesitarán algo de tiempo para insertarlas en sus dispositivos, ya que necesitan tiempo para probar y ajustar los parches para cada configuración de hardware.
Aquellos que usan Android 10 y versiones anteriores deberían considerar actualizar a dispositivos que ejecuten una versión compatible o actualizar el actual usando una ROM de Android de terceros basada en una versión reciente de AOSP.
Fuente: BC