Introducción
El boletín de Android, relativo a enero de 2024, soluciona múltiples vulnerabilidades de severidad crítica y alta que afectan a su sistema operativo, así como múltiples componentes, que podrían provocar una escalada de privilegios o una divulgación de información.
Análisis
Las vulnerabilidades críticas se detallan a continuación:
CVE-2023-21651
Corrupción de memoria en el core debido a una conversión de tipo incorrecta en la función secure_io_read/write en TEE (Trusted Execution Environment).
CVE-2023-33025
Copia del búfer sin comprobar el tamaño de la entrada en el módem de datos.
CVE-2023-33036
Denegación de servicio (DoS) permanente en Hypervisor mientras la máquina virtual, no confiable y sin soporte PSCI, realiza una llamada.
Recomendaciones
En caso de utilizar dispositivos Android, se debe comprobar que el fabricante haya publicado un parche de seguridad y actualizarlos.
En esta página se indica cómo verificar la versión de Android de un dispositivo y la fecha del parche de seguridad de algunos fabricantes. En caso de que siguiendo esta guía no se pueda comprobar la versión de los dispositivos o la fecha del parche de seguridad, se recomienda revisar la página del fabricante.
Referencias
https://source.android.com/docs/security/bulletin/2024-01-01?hl=es