Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Boletín de seguridad de Android de enero de 2023

Fecha de publicación 04/01/2023
Identificador

INCIBE-2023-0001

Importancia
5 - Crítica
Recursos Afectados
  • Android Open Source Project (AOSP): versiones 10, 11, 12, 12L y 13.
  • Componentes:
    • framework,
    • system,
    • sistema de actualizaciones de Google Play,
    • kernel (versión LTS incluida),
    • componentes del kernel,
    • Imagination Technologies,
    • MediaTek,
    • Unisoc,
    • Qualcomm.
Descripción

El boletín de Android relativo a enero de 2023 soluciona múltiples vulnerabilidades de severidad crítica y alta, que afectan al sistema operativo Android, así como a múltiples componentes, y que podrían permitir a un atacante realizar una escalada de privilegios, ejecución remota de código (RCE) o provocar una denegación de servicio (DoS).

Solución

En caso de utilizar dispositivos Android, comprobar que el fabricante haya publicado un parche de seguridad, y actualizarlos. En esta página, se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no puedas comprobar la versión de tus dispositivos o la fecha del parche de seguridad, revisa la página del fabricante.

Detalle

El boletín de seguridad de Android, del mes de enero, corrige varias vulnerabilidades que se encuentran disponibles en los parches de seguridad del 01-01-2023 y del 05-01-2023, así como en posteriores.

Las vulnerabilidades críticas se detallan a continuación:

  • 4 de tipo RCE que afectan al kernel y sus componentes (CVE-2022-42719, CVE-2022-42720, CVE-2022-42721 y CVE-2022-41674);
  • 4 que afectan a componentes Qualcomm (CVE-2022-22088, CVE-2021-35097, CVE-2021-35113 y CVE-2021-35134).

Encuesta valoración