Noticias

Actualización de seguridad mensual de Android - Enero 2025

Fecha de publicación: 

Google ha publicado las actualizaciones de seguridad de Android del mes de enero de 2025, en donde se corrigen 36 vulnerabilidades, entre las cuales se corrigen 6 vulnerabilidades críticas y 30 altas, que afectan a las versiones 12, 12L, 13, 14 y 15 del sistema operativo Android y componentes asociados, abarcando soluciones para fallos de elevación de privilegios, ejecución remota de código, divulgación de información y denegación de servicio. Por otra parte, se corrige una vulenrabilidad crítica en dispositivos Google Pixel con el identificador CVE-2024-53842.

Recursos afectados:

  • Framework
  • Media Framework
  • Imagination Technologies
  • Componentes MediaTek
  • Componentes Qualcomm

Análisis técnico:

Los detalles de las vulnerabilidades más relevantes son:

  • CVE-2024-20148: En wlan STA FW, existe una posible escritura fuera de los límites debido a una validación de entrada incorrecta. Esto podría llevar a la ejecución remota (proximidad/adyacente) de código sin necesidad de privilegios adicionales de ejecución. No se requiere interacción del usuario para la explotación.
    • CWE: 787
    • CVSS: 9.8
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-34722: En smp_proc_rand de smp_act.cc, existe una posible omisión de autenticación durante el emparejamiento BLE heredado debido a una implementación incorrecta de un protocolo. Esto podría llevar a una escalada de privilegios remota sin necesidad de privilegios adicionales de ejecución. No se requiere interacción del usuario para la explotación.
    • CWE: 303
    • CVSS: 8.8
    • Vector de ataque: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-43704: El software instalado y ejecutado como un usuario sin privilegios puede realizar llamadas al sistema GPU incorrectas para acceder a los búferes gráficos de un proceso padre.
    • CWE: 668
    • CVSS: 8.4
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-20154: En Modem, existe una posible escritura fuera de los límites debido a la falta de una verificación de límites. Esto podría conducir a la ejecución remota de código si un UE se conecta a una estación base maliciosa controlada por el atacante, sin necesidad de privilegios adicionales de ejecución. No se requiere interacción del usuario para la explotación.
    • CWE: 121
    • CVSS: 8.1
    • Vector de ataque: CVSS:3.1/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-20146: En el controlador STA de wlan, existe una posible escritura fuera de los límites debido a una validación de entrada incorrecta. Esto podría llevar a la ejecución remota (proximidad/adyacente) de código sin necesidad de privilegios adicionales de ejecución. No se requiere interacción del usuario para la explotación.
    • CWE: 787
    • CVSS: 8.1
    • Vector de ataque: CVSS:3.1/AV:A/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:H
    • Explotación: No detectada

Mitigación / Solución:

Para prevenir estas y otras vulnerabilidades, se recomienda tener siempre los sistemas y aplicaciones actualizadas a la última versión disponible.

Referencias Adicionales