Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Boletín de seguridad de Android: septiembre de 2024

Fecha de publicación 04/09/2024
Identificador
INCIBE-2024-0431
Importancia
5 - Crítica
Recursos Afectados
  • Android Open Source Project (AOSP): versiones 12, 12L, 13 y 14 (framework y system).
  • Actualizaciones del sistema Google Play.
  • Componentes de Kernel, Arm, MediaTek, Imagination Technologies, Unisoc y Qualcomm.
Descripción

El boletín de Android, relativo a septiembre de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, una divulgación de información o una denegación de servicio.

Solución

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.

Detalle

Las 2 vulnerabilidades de severidad crítica, detectadas en componentes Qualcomm (subcomponente WLAN), consisten en desbordamientos de búfer en FM Host, lo que podría provocar la corrupción de la memoria. Se han asignado los identificadores CVE-2024-33042 y CVE-2024-33052 para estas vulnerabilidades.

Adicionalmente, en el framework del sistema operativo, se ha corregido una vulnerabilidad de severidad alta y tipo escalada local de privilegios sin necesidad de privilegios de ejecución adicionales, que se encontraba en explotación activa. Se ha asignado el identificador CVE-2024-32896 para esta vulnerabilidad.

El resto de identificadores CVE pueden consultarse en las referencias.