Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Boletín de seguridad de Android: diciembre de 2023

Fecha de publicación 11/12/2023
Identificador
INCIBE-2023-0551
Importancia
5 - Crítica
Recursos Afectados
  • Android Open Source Project (AOSP): versiones 11, 12, 12L, 13 y 14.
  • Componentes del sistema, de la estructura, de MediaTek y de Qualcomm.
Descripción

El boletín de Android, relativo a diciembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios, divulgación de información, denegación de servicio o conducir a la ejecución remota de código.

Solución

En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.

En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.

Detalle

Las vulnerabilidades críticas se detallan a continuación:

  • Escalada remota de privilegios sin necesidad de privilegios de ejecución adicionales (CVE-2023-40077).
  • Acceso a credenciales de otros usuarios debido a omisión de permisos (CVE-2023-40076).
  • Corrupción de memoria debido a un uso después de la liberación (CVE-2023-40088).
  • Inyección de mensajes HID cuando no se ha producido ninguna interacción del usuario (CVE-2023-45866).
  • Corrupción de la memoria debido a la doble liberación en el Core (CVE-2022-40507).