Noticias

Actualización de seguridad mensual de Android - Febrero 2025

Fecha de publicación: 

Google ha publicado los boletines de seguridad mensual de Android y dispositvos Pixel correspondiente a febrero de 2025. Ambos informes indican que las vulnerabilidades que abarcan problemas críticos en componentes como framework, platform, system, kernel y diversos componentes de terceros, Arm, Imagination Technologies, MediaTek, Unisoc y Qualcomm, se solventan mediante la actualización al nivel de parche 2025-02-05 o superior. En el caso de los dispositivos Pixel, además de las vulnerabilidades descritas en el boletín de Android, se han incluido parches específicos para vulnerabilidades adicionales, vinculada a problemas en el funcionamiento de la batería de los dispositivos, junto con mejoras funcionales, siendo recomendada la aceptación inmediata de estas actualizaciones.
Finalmente, se ha identificado que la vulnerabilidad CVE-2024-53104 podría estar siendo explotada de forma limitada y dirigida.

Recursos afectados

  • Framework
  • Media Framework
  • Sistema
  • Google Play
  • Componentes ARM
  • Tecnologías Imagination
  • Componentes Mediatek
  • Componentes Unisoc
  • Componentes Qualcomm

Análisis técnico

Los detalles de la vulnerabilidad explotada son:

  • CVE-2024-53104: En el kernel de Linux, se ha resuelto la siguiente vulnerabilidad: media: uvcvideo: Omitir el análisis de fotogramas de tipo UVC_VS_UNDEFINED en uvc_parse_format. Esto puede provocar escrituras fuera de los límites, ya que los fotogramas de este tipo no se tuvieron en cuenta al calcular el tamaño del búfer de fotogramas en uvc_parse_streaming.
    • CWE: 787
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: Detectada

Los detalles de las vulnerabilidades más relevantes son:

  • CVE-2024-45569: Corrupción de memoria al analizar el ML IE debido a contenido de marco inválido.
    • CWE: 129
    • CVSS: 9.8
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-38420: Corrupción de memoria al configurar un dispositivo de entrada basado en hipervisor.
    • CWE: 20
    • CVSS: 8.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-49839: Corrupción de memoria durante el procesamiento de tramas de gestión debido a una discrepancia en el elemento de información T2LM.
    • CWE: 126
    • CVSS: 8.2
    • Vector de ataque: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:L
    • Explotación: No detectada
  • CVE-2024-49833: Puede producirse una corrupción de memoria en la cámara cuando se utiliza un CID inválido.
    • CWE: 129
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-45582: Corrupción de memoria al validar el número de dispositivos en el kernel de la cámara.
    • CWE: 129
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada
  • CVE-2024-49832: Corrupción de memoria en la cámara debido a un número inusualmente alto de nodos enviados al puerto AXI.
    • CWE: 129
    • CVSS: 7.8
    • Vector de ataque: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
    • Explotación: No detectada

Mitigación / Solución

Para prevenir estas y otras vulnerabilidades, se recomienda tener siempre los sistemas y aplicaciones actualizados a la última versión disponible.

Referencias adicionales