El Boletín de seguridad de Android de febrero de 2018, aborda 26 vulnerabilidades en el sistema operativo móvil, la mayoría de las cuales son fallas de elevación de privilegios. El 1 de febrero los parches de seguridad arreglaron 7 vulnerabilidades, 6 de estas en Media Framework, y una que afecta a componentes del Sistema.
Google ha arreglado 2 vulnerabilidades del tipo RCE (Remote code execution, o ejecución de codigo remoto); las cuales estaban identificadas como CVE-2017-13228 y CVE-2017-13230, que afectaban a Andriod 6.0 y 5.1.1 respectivamente. Tambien arreglo vulnerablidades en las cuales permitia a un atacante elevar privilegios y otras denegaciones de servicio.
La más severa de estas vulnerabilidades se rastrea como CVE-2017-13236, es un problema del sistema que podría ser explotado por un atacante, para lograr la ejecución remota de código en el contexto de un proceso con privilegios. El atacante puede activar la falla a través de correo electrónico, navegación web y MMS cuando procesa archivos multimedia.
Lista de vulnerabilidades reparadas en Media Framework
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2017-13228 | A-69478425 | RCE | Critical | 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13231 | A-67962232 | EoP | High | 8.0, 8.1 |
| CVE-2017-13232 | A-68953950 | ID | High | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13230 | A-65483665 | DoS | High | 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| RCE | Critical | 5.1.1, 6.0, 6.0.1 | ||
| CVE-2017-13233 | A-62851602 | DoS | High | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
| CVE-2017-13234 | A-68159767 | DoS | High | 5.1.1, 6.0, 6.0.1, 7.0, 7.1.1, 7.1.2, 8.0, 8.1 |
Vulnerabilidades reparadas de sistema
| CVE | References | Type | Severity | Updated AOSP versions |
|---|---|---|---|---|
| CVE-2017-13236 | A-68217699 [2] | EoP | Moderate | 8.0, 8.1 |
Existen otras reparaciones asociadas con HTC, NVIDIA, Qualcomm
Fuente: https://source.android.com/security/bulletin/2018-02-01
