RCE en dispositivos Android al visualizar una imagen PNG

Un atacante remoto podría ejecutar código en dispositivos Android si el usuario visualizara una imagen PNG especialmente manipulada. Esto es debido a nuevas vulnerabilidades descubiertas y publicadas en el ‘Android Security Bulletin‘ de febrero.

Son varias las vulnerabilidades descubiertas e incluidas en el citado boletín, aunque las más críticas se encuentran al nivel de Framework.

Los ingenieros de Google aun no han revelado los detalles técnicos de estos fallos, aunque se sabe que hace referencia a errores en SkPngCodec, y explican que “El problema más grave es una vulnerabilidad crítica en el Framework que podría permitir que un atacante remoto ejecutar código arbitrario a través de un archivo PNG especialmente diseñado. “

Las vulnerabilidades identificadas como CVE-2019-1986, CVE-2019-1987 y CVE-2019-1988 ya han sido parcheadas por Android Open Source Project (AOSP) junto con las que aparecen en la lista de actualizaciones de seguridad de febrero. Sin embargo debido a la demora de los fabricantes en aplicar las actualizaciones en sus productos, es difícil saber cuando estará disponible la actualización para los dispositivos afectados. Las versiones de Android afectadas van desde 7.0 Nougat hasta la actual 9.0 Pie.

Por último, Google destaca que no hay indicios de explotación de estas vulnerabilidades por el momento.

Más información:

Android Security Bulletin
https://source.android.com/security/bulletin/2019-02-01.html

The hacker way 
https://thehackernews.com/2019/02/hack-android-with-image.html