Corrección de dos vulnerabildades críticas en Android

La última actualización mensual de Android incluye la corrección de dos vulnerabilidades críticas que, de ser explotadas, permitirían la ejecución remota de código.

Tanto Google como los fabricantes de dispositivos móviles distribuyen paquetes de actualizaciones mensuales en las que corrigen los fallos que localizan, sin necesidad de una actualización completa del sistema, pese a que afecten a componentes del sistema. En esta última revisión se solucionan un total de 34 fallos, dos de los cuales han sido calificados como críticos.

Estas vulnerabilidades críticas, identificadas con los CVE-2020-0117 y CVE-2020-8597, residen en el componente de Sistema de Android, y afectan a las versiones 8, 8.1, 9 y 10 del sistema operativo.

Tras revisar las modificaciones aplicadas, se determina que la primera de ellas está relacionada con el stack bluetooth, mientras que la segunda afecta al software pppd, cuya corrección ya fue noticia hace unos meses en este blog.

Del resto de vulnerabilidades, gran parte de ellas afecta a dispositivos con componentes de Qualcomm, fabricante de procesadores y chips de comunicaciones. Sin embargo, no hay mucha información técnica sobre las mismas al ser proyectos de código cerrado.

Con la llegada de la versión 11 de Android, que será publicada este año, se espera que Google mejore la distribución de estas actualizaciones de seguridad periódicas, haciendo que lleguen más rápido a los usuarios. Los parches a muchos componentes serán descargados directamente de Google Play, en lugar de tener que esperar a que los fabricantes empaqueten y distribuyan estas correcciones, que en ocasiones se demoran en el tiempo.

Referencias

https://www.securityweek.com/androids-june-2020-patches-fix-critical-rce-vulnerabilities
https://threatpost.com/two-critical-android-bugs-rce/156216/
https://source.android.com/security/bulletin/2020-06-01