Inicio

Google Android 8.0/8.1/9.0/10.0/11.0 desbordamiento de búfer

Vulnerabilidades

Una vulnerabilidad ha sido encontrada en Google Android 8.0/8.1/9.0/10.0/11.0 (Smartphone Operating System) y clasificada como extremadamente crítica. La función exif_entry_get_value del archivo exif-entry.c es afectada por esta vulnerabilidad. Aplicando un parche es posible eliminar el problema.

Impactos

  • A denial of service vulnerability in System. (CVE-2020-0437)
  • An arbitrary code vulnerability in System. (CVE-2020-0449)
  • An elevation of privilege vulnerability in System. (CVE-2020-12856)
  • Multiple information disclosure vulnerabilities in System. (CVE-2020-0424, CVE-2020-0448, CVE-2020-0450, CVE-2020-0453)
  • An elevation of privilege vulnerability in Android runtime. (CVE-2020-0409)
  • An elevation of privilege vulnerability in Media Framework. (CVE-2020-0438)
  • An information disclosure vulnerability in Media Framework. (CVE-2020-0451)
  • An arbitrary code vulnerability in Media Framework. (CVE-2020-0452)
  • An information disclosure vulnerability in Framework. (CVE-2020-0454)
  • Multiple denial of service vulnerabilities in Framework. (CVE-2020-0441, CVE-2020-0442, CVE-2020-0443)
  • Multiple elevation of privilege vulnerabilities in Framework. (CVE-2020-0418, CVE-2020-0439)
  • Multiple high severity vulnerabilities in MediaTek components. (CVE-2020-0445, CVE-2020-0446, CVE-2020-0447)
  • A Critical severity vulnerability in Qualcomm closed-source components.  (CVE-2020-3639,)
  • Multiple high severity vulnerabilities in Qualcomm closed-source components. (CVE-2020-11123, CVE-2020-11127, CVE-2020-11168, CVE-2020-11175, CVE-2020-11184, CVE-2020-11193, CVE-2020-11196, CVE-2020-11205, CVE-2020-3632)

Productos Afectados

La explotación exitosa de la más grave de estas vulnerabilidades podría permitir la ejecución remota de código en el contexto de un proceso privilegiado. Estas vulnerabilidades podrían explotarse a través de múltiples métodos, como correo electrónico, navegación web y MMS al procesar archivos multimedia. Dependiendo de los privilegios asociados con la aplicación, un atacante podría instalar programas; ver, cambiar o eliminar datos; o cree nuevas cuentas con todos los derechos de usuario. Si esta aplicación se ha configurado para tener menos derechos de usuario en el sistema, la explotación de la más grave de estas vulnerabilidades podría tener un impacto menor que si estuviera configurada con derechos administrativos.

Mitigación

Después de las pruebas adecuadas, aplique inmediatamente las actualizaciones proporcionadas por Google Android o los operadores de telefonía móvil a los sistemas vulnerables.
Recuerde a los usuarios que solo descarguen aplicaciones de proveedores confiables en Play Store.
Recuerde a los usuarios que no deben visitar sitios web que no sean de confianza ni seguir enlaces proporcionados por fuentes desconocidas o no confiables.
Informar y educar a los usuarios sobre las amenazas que representan los enlaces de hipertexto contenidos en correos electrónicos o archivos adjuntos, especialmente de fuentes no confiables.

Enlaces

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0409

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0418

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0424

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0437

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0438

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0439

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0441

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0442

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0443

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0445

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0446

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0447

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0448

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0449

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0450

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0451

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0452

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0453

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-0454

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3632

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3639

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11123

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11127

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11168

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11175

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11184

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11193

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11196

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11205

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-12856

Preguntada on 04/12/2020 en N1-CRITICA.
Agregar Comentario
Cancel
0 Respuesta(s)

Tu Respuesta

Al publicar tu respuesta, confirmas estar de acuerdo con las políticas de privacidad y términos de servicio.