La compañía Google ha lanzado recientemente el boletín mensual de Android de junio de 2022, el cual soluciona 41 vulnerabilidades que afectan al sistema, incluyendo varias consideradas críticas.

Recursos afectados: 

Android Open Source Project (AOSP): versiones 10, 11, 12 y 12L.

Descripción:

El boletín de seguridad de Android, del mes de junio, corrige varias vulnerabilidades que se encuentran disponibles en los parches de seguridad del 01-06-2022 o posteriores. Las vulnerabilidades de severidad crítica y alta que afectan al sistema podrían permitir a un ciberdelincuente la escalada remota de privilegios, sin necesidad de privilegios de ejecución adicionales, ni interacción por parte del usuario; la ejecución remota de código (RCE), la divulgación de información o una denegación del servicio.

La vulnerabilidad crítica de mayor gravedad que afecta el componente del sistema y podría conducir a la ejecución remota de código, tiene asignado el identificador CVE-2022-20127. Esta vulnerabilidad afecta las versiones de Android 10, 11, 12 y 12L.

Se resolvieron otras dos vulnerabilidades críticas en el sistema, las cuales podrían conducir a la elevación de privilegios. Los identificadores son CVE-2022-20140, la cual afecta a Android 12 y 12L, y CVE-2022-20145, que afecta a Android 11.

Otra falla de gravedad crítica parcheada en Android este mes se encontró en Media Framework. Registrado como CVE-2022-20130, puede conducir a RCE en dispositivos con Android 10 y versiones posteriores.

Las cuatro vulnerabilidades se resolvieron como parte del nivel de parche de seguridad 2022-06-01, que también incluye correcciones para cinco errores de seguridad en Framework y otras 13 vulnerabilidades en el componente del sistema, todas las cuales están clasificadas como gravedad alta. La explotación exitosa de estos problemas, según Google, puede conducir a la elevación de privilegios, la divulgación de información o una DoS.

Además de las correcciones para estos 22 errores, Google lanzó parches para otros 18 problemas como parte del nivel de parche de seguridad 2022-06-05. Estos se abordaron en los componentes de Kernel, los componentes de MediaTek, los componentes de Unisoc y los componentes de código cerrado de Qualcomm. La vulnerabilidad resuelta en los componentes de Unisoc es CVE-2022-20210, un problema de gravedad crítica que se puede explotar de forma remota para lanzar un ataque DoS con el uso de un paquete especialmente diseñado.

Google también anunció que se han solucionado aproximadamente otras 80 vulnerabilidades en los dispositivos Pixel con un nuevo conjunto de actualizaciones de seguridad.

Recomendaciones:

Comprobar en cada caso que los fabricantes de los dispositivos con sistema operativo Android en las versiones señaladas hayan publicado un parche de seguridad, y proceder a actualízar el sistema.

Puede consultar la versión de Android instalada en Ajustes - Sistema  -  Versión de Android. En Actualizar Sistema busque si existen nuevas actualizaciones. Por lo general en la sección Acerca del teléfono aparece la fecha del último parche de seguridad de Android que fue instalado.

Referencias:

• https://source.android.com/security/bulletin/2022-06-01
• https://www.incibe.es/protege-tu-empresa/avisos-seguridad/boletin-seguridad-android-junio-2022