
Google ha lanzado sus parches de seguridad mensuales para Android con 39 correcciones de errores, incluida una vulnerabilidad de día cero que, según dice, se explota activamente en ataques limitados y dirigidos.
rastreado como CVE-2021-1048, un error de día cero se describe como una vulnerabilidad del kernel que no se usa y que se puede explotar para aumentar los permisos locales. Los problemas de uso gratuito son peligrosos porque podrían permitir que un actor en riesgo acceda o haga referencia a la memoria después de que se haya liberado, lo que lleva a un estado de «escribir qué-dónde», lo que lleva a la ejecución de código arbitrario para obtener el control de la memoria. sistema de la víctima. .
«Hay indicios de que CVE-2021-1048 puede tener un uso específico y limitado», dijo la compañía en su asesoramiento de noviembre, sin revelar detalles técnicos sobre la vulnerabilidad, la naturaleza de la violación y la identidad de los atacantes que podrían ser explotados. defecto.
El parche de seguridad también corrige dos vulnerabilidades críticas de ejecución remota de código (RCE), CVE-2021-0918 y CVE-2021-0930, en el componente del sistema que podría permitir que los oponentes remotos ejecuten código malicioso en el contexto de un proceso privilegiado. enviar una transmisión especialmente diseñada a dispositivos específicos.
Las otras dos vulnerabilidades críticas, CVE-2021-1924 y CVE-2021-1975, afectan a los componentes cerrados de Qualcomm, mientras que una quinta vulnerabilidad crítica en Android TV (CVE-2021-0889) podría permitir que un atacante en las proximidades empareje silenciosamente con un televisor y ejecutar código arbitrario sin permiso o interacción del usuario.
Con la última ronda de actualizaciones, Google ha resuelto un total de seis días cero en Android desde principios de año:
- CVE-2020-11261 (Puntuación CVSS: 8,4) – Verificación de entrada incorrecta en el componente Qualcomm Graphics
- CVE-2021-1905 (Puntuación CVSS: 8,4) – No se utiliza en el componente Qualcomm Graphics
- CVE-2021-1906 (Puntuación CVSS: 6,2) – Detección de estado de error sin acción en el componente Qualcomm Graphics
- CVE-2021-28663 (Puntuación CVSS: 8,8) – El controlador del núcleo de GPU de Mali permite operaciones de memoria de GPU incorrectas
- CVE-2021-28664 (Puntuación CVSS: 8.8) – Mali GPU Kernel Driver eleva las páginas RO de la CPU a escritura