Nueva vulnerabilidad zero day de Android bajo ataques dirigidos activos

Google ha implementado sus parches de seguridad mensuales para Android con correcciones para 39 fallas, incluida una vulnerabilidad de día cero que, según afirmaron, se está explotando activamente en ataques dirigidos.

Rastreado como CVE-2021-1048, el error de día cero se describe como una vulnerabilidad de uso después de la liberación en el kernel que puede explotarse para la escalada de privilegios local.

Los problemas de uso después de la liberación son peligrosos, ya que podrían permitir que un actor de amenazas acceda o haga referencia a la memoria después de que se haya liberado, lo que lleva a una condición de «escribir qué y dónde» que da como resultado la ejecución de código arbitrario para obtener el control de un sistema de la víctima.

«Hay indicios de que CVE-2021-1048 puede estar bajo explotación limitada y dirigida», señaló la compañía en su aviso de noviembre sin revelar detalles técnicos de la vulnerabilidad, la naturaleza de las intrusiones y las identidades de los atacantes que pueden haber abusado la falla.

También se corrigen en el parche de seguridad dos vulnerabilidades críticas de ejecución remota de código (RCE), CVE-2021-0918 y CVE-2021-0930, en el componente del sistema que podrían permitir a los adversarios remotos ejecutar código malicioso dentro del contexto de un proceso privilegiado por enviar una transmisión especialmente diseñada a dispositivos específicos.

Dos fallas críticas más, CVE-2021-1924 y CVE-2021-1975, afectan los componentes de código cerrado de Qualcomm, mientras que una quinta vulnerabilidad crítica en Android TV (CVE-2021-0889) podría permitir que un atacante cercano se empareje silenciosamente con un televisor y ejecutar código arbitrario sin privilegios o interacción del usuario requerido.

Con la última ronda de actualizaciones, Google ha abordado un total de seis días cero en Android desde el comienzo del año:

  • CVE-2020-11261 (puntuación CVSS: 8,4): validación de entrada incorrecta en el componente de gráficos de Qualcomm.
  • CVE-2021-1905 (puntuación CVSS: 8.4) – Use-after-free en el componente de gráficos de Qualcomm.
  • CVE-2021-1906 (puntuación CVSS: 6.2) – Detección de condición de error sin acción en el componente Qualcomm Graphics.
  • CVE-2021-28663 (puntuación CVSS: 8,8): el controlador del kernel de la GPU de Mali permite operaciones incorrectas en la memoria de la GPU.
  • CVE-2021-28664 (puntuación CVSS: 8,8): el controlador de kernel de GPU de Mali eleva las páginas de RO de la CPU a escritura.