Dos nuevos avisos de seguridad
Boletín de seguridad de Android de septiembre de 2023
- Android Open Source Project (AOSP): versiones 11, 12, 12L y 13.
- Componentes:
- framework,
- system,
- sistema de actualizaciones de Google Play,
- Qualcomm (incluidos closed-source).
El boletín de Android, relativo a septiembre de 2023, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían permitir a un atacante realizar una escalada de privilegios, divulgar información y provocar una denegación de servicio (DoS) o hacer una ejecución de código remota (RCE).
En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.
En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no puedas comprobar la versión de tus dispositivos o la fecha del parche de seguridad, revisa la página del fabricante.
El boletín de seguridad de Android del mes de septiembre corrige varias vulnerabilidades, que se encuentran disponibles en los parches de seguridad del 01-09-2023 y del 05-09-2023, así como posteriores.
Las vulnerabilidades críticas se detallan a continuación:
- 3 de ejecución remota de código que afectan a system (CVE-2023-35658, CVE-2023-35673 y CVE-2023-35681).
- 1 de corrupción de memoria debido a la falta de comprobación del tamaño del búfer que afecta al componente Qualcomm closed-source (CVE-2023-28581).
Múltiples vulnerabilidades en Secret Server de Delinea
Las siguientes versiones de Delinea Secret Server están afectadas:
- versión 10.9.000002;
- versión 11.4.000002 (solo CVE-2023-4588).
INCIBE ha coordinado la publicación de 2 vulnerabilidades que afectan a Secret Server, de Delinea, un software de gestión de accesos privilegiados (PAM), descubiertas por Héctor de Armas Padrón (@3v4SI0N).
A estas vulnerabilidades se les han asignado los siguientes códigos, puntuación base CVSS v3.1, vector del CVSS y el tipo de vulnerabilidad CWE de cada vulnerabilidad:
- CVE-2023-4588: CVSS v3.1: 6,8 | CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:N/A:N | CWE-552.
- CVE-2023-4589: CVSS v3.1: 9,1 | CVSS: AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:H/A:H | CWE-345.
No hay solución reportada por el momento.
- CVE-2023-4588: vulnerabilidad de accesibilidad a ficheros. La explotación de esta vulnerabilidad podría permitir a un usuario autenticado, con privilegios administrativos, crear un archivo de copia de seguridad en el directorio webroot de la aplicación, cambiando el directorio de copia de seguridad por defecto a la carpeta wwwroot y descargarlo con algunos archivos de configuración como encryption.config/ y database.config, almacenados en el directorio wwwroot, exponiendo las credenciales de la base de datos en texto plano.
- CVE-2023-4589: vulnerabilidad de verificación insuficiente de autenticidad de datos. Un atacante con una cuenta de administrador podría realizar actualizaciones de software sin los mecanismos adecuados de verificación de integridad. En este escenario el proceso de actualización carece de firmas digitales y falla al validar la integridad del paquete de actualización, permitiendo al atacante inyectar aplicaciones maliciosas durante la actualización.