Alertas

Múltiples vulnerabilidades en Android

29 Mar 2023

INTRODUCCIÓN

Se han encontrado múltiples vulnerabilidades en Android que permiten la escalada de privilegios y la filtración de información. La primera afecta a todos los móviles Android (CVE-2023-20960) y el resto afectan a Android en teléfonos Pixel.

(CVE-2023-20960, CVE-2022-42499, CVE-2022-42498, CVE-2022-20532)

ANÁLISIS

CVE-2023-20960 CVSS 8.8:

En launchDeepLinkIntentToRight de SettingsHomepageActivity.java, existe una posible forma de lanzar actividades arbitrarias debido a una validación de entrada incorrecta. Esto podría llevar a una escalada local de privilegios con necesidad de privilegios de ejecución de usuario.

CVE-2022-42499 CVSS 9.8:

En sms_SendMmCpErrMsg de sms_MmConManagement.c, existe una posible escritura fuera de los límites debido a un desbordamiento del búfer de la pila. Esto podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales.

CVE-2022-42498 CVSS 9.8:

En el firmware del móvil Pixel, existe una posible escritura fuera de los límites debido a una comprobación de límites omitida. Esto podría conducir a la ejecución remota de código sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.

CVE-2022-20532 CVSS 9.8:

En parseTrackFragmentRun() de MPEG4Extractor.cpp, existe una posible lectura fuera de límites debido a un desbordamiento de enteros. Esto podría conducir a una escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación.

VERSIONES AFECTADAS

CVE-2023-20960:

Android 12.1
Android 13

CVE-2022-42499, CVE-2022-42498:

Todas las versiones de Android.

CVE-2022-20532:

Android 13

RECOMENDACIONES

Aplique los últimos parches de seguridad en las versiones afectadas.

REFERENCIAS

https://source.android.com/security/bulletin/2023-03-01
https://source.android.com/docs/security/bulletin/pixel/2023-03-01
https://nvd.nist.gov/vuln/detail/CVE-2023-20960
https://nvd.nist.gov/vuln/detail/CVE-2022-42499
https://nvd.nist.gov/vuln/detail/CVE-2022-42498
https://nvd.nist.gov/vuln/detail/CVE-2022-20532

Cookie	Duración	Descripción
_GRECAPTCHA	6 meses	El servicio recaptcha de Google configura esta cookie para identificar bots y proteger el sitio web contra ataques de spam maliciosos.
cookielawinfo-checkbox-analytics	1 año	Establecida por el complemento de consentimiento de cookies de GDPR, esta cookie se utiliza para registrar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional	1 año	La cookie está configurada por el complemento de consentimiento de cookies GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necesaria	1 año	Establecido por el complemento de consentimiento de cookies de GDPR para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
CookieLawInfoConsent	1 año	Registra el estado del botón predeterminado de la categoría correspondiente el estado de CCPA. Funciona solo en coordinación con la cookie principal.