Google anunció hoy que las actualizaciones de seguridad de Android de diciembre de 2023 abordan 85 vulnerabilidades, incluido un error de ejecución remota de código (RCE) sin clic de gravedad crítica.
Análisis
Registrado como CVE-2023-40088, el error RCE de cero clic se encontró en el componente del sistema de Android y no requiere privilegios adicionales para ser explotado.
Si bien la compañía aún no ha revelado si los atacantes han atacado esta falla de seguridad en la naturaleza, los actores de amenazas podrían explotarla para obtener la ejecución de código arbitrario sin interacción del usuario.
Este mes se parchearon 84 vulnerabilidades de seguridad adicionales, tres de ellas (CVE-2023-40077, CVE-2023-40076 y CVE-2023-45866) eran errores críticos de escalada de privilegios y divulgación de información en el marco de trabajo y los componentes del sistema Android.
Se abordó una cuarta vulnerabilidad crítica (CVE-2022-40507) en los componentes de código cerrado de Qualcomm.
Recomendaciones
- Aplicar las actualizaciones de seguridad publicadas por Google identificadas como los niveles de seguridad 2023-12-01 y 2023-12-05.
Este último incluye todas las correcciones del primer conjunto y parches adicionales para componentes de kernel y de código cerrado de terceros.
Referencias