Google ha lanzado recientemente una actualización de seguridad para Android que soluciona un total de 46 vulnerabilidades, incluyendo una de tipo «zero-day».
Una vulnerabilidad «zero-day» es un fallo de seguridad en software, hardware o firmware que los ciberdelincuentes explotan antes de que el proveedor pueda identificarlo y corregirlo. El término «zero-day» hace referencia al tiempo que tiene el proveedor para preparar un parche, que en este caso es cero días debido a que la vulnerabilidad ya ha sido descubierta o explotada.
La nueva actualización de Android corrige problemas críticos de seguridad
Para abordar todas las vulnerabilidades detectadas, Google ha publicado dos lotes de parches dentro de la actualización de seguridad de agosto, con fechas 2024-08-01 y 2024-08-05. Es importante destacar que el segundo lote incluye correcciones para componentes de terceros y componentes del kernel, además de todas las soluciones del primer lote. Por lo tanto, se recomienda instalar ambos parches tan pronto como estén disponibles. Aunque los dispositivos Pixel de Google suelen recibir las actualizaciones rápidamente, otros fabricantes pueden tardar más en implementarlas en ciertos modelos.
La vulnerabilidad «zero-day» en cuestión, catalogada como CVE-2024-36971, es de tipo «use-after-free» y afecta al kernel de Linux utilizado por el sistema Android para gestionar el enrutamiento de red. A pesar de que explotar esta vulnerabilidad requiere privilegios de ejecución a nivel de sistema, Google ha señalado en su boletín de seguridad indicios de que podría estar siendo objeto de ataques limitados y dirigidos.
Conclusiones
Si un atacante logra explotar esta vulnerabilidad, podría ejecutar código arbitrario en dispositivos sin parchear sin ninguna interacción por parte del usuario. El descubrimiento de esta vulnerabilidad se atribuye a Clément Lecigne, investigador de seguridad del Grupo de Análisis de Amenazas (TAG) de Google.
Con el objetivo de brindar suficiente tiempo a los usuarios de Android para actualizar y proteger sus dispositivos, Google no ha revelado detalles específicos sobre la vulnerabilidad.
Gracias