Introducció
El butlletí d’Android, relatiu a gener de 2024, soluciona múltiples vulnerabilitats de severitat crítica i alta que afecten el seu sistema operatiu, així com múltiples components, que podrien provocar una escalada de privilegis o una divulgació d’informació.
Anàlisi
Les vulnerabilitats més importants són:
CVE-2023-21651
Corrupció de memòria en el core a causa d’una conversió de tipus incorrecta en la funció secure_io_read/write en TEE (Trusted Execution Environment).
CVE-2023-33025
Còpia del búfer sense comprovar la grandària de l’entrada en el mòdem de dades.
CVE-2023-33036
Denegació de servici (Dos) permanent en Hypervisor mentre la màquina virtual, no de confiança i sense suport PSCI, realitza una crida.
Recomanacions
- En cas d’utilitzar dispositius Android, s’ha de comprovar que el fabricant haja publicat un pegat de seguretat i actualitzar-los.
Aquesta pàgina s’indica com verificar la versió d’Android d’un dispositiu i la data del pegat de seguretat d’alguns fabricants. En cas que seguint esta guia no es puga comprovar la versió dels dispositius o la data del pegat de seguretat, es recomana revisar la pàgina del fabricant.
Referències
https://source.android.com/docs/security/bulletin/2024-01-01?hl=es