Android Security Bulletin (CVE-2023-35674)
En onCreate de WindowState.java, existe una forma posible de iniciar una actividad en segundo plano debido a
un error lógico en el código. Esto podría conducir a una escalada local de privilegios sin necesidad de
privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación. Hay indicios
de que CVE-2023-35674 puede estar bajo explotación limitada y dirigida.
La actualización también aborda otras tres fallas de escalada de privilegios en Framework, y el gigante de las
búsquedas señaló que el más grave de estos problemas "podría conducir a una escalada local de privilegios
sin necesidad de privilegios de ejecución adicionales" sin ninguna interacción del usuario.
Google dijo que además ha solucionado una vulnerabilidad de seguridad crítica en el componente del sistema
que podría conducir a la ejecución remota de código sin requerir interacción por parte de la víctima.
"La evaluación de la gravedad se basa en el efecto que la explotación de la vulnerabilidad podría tener en un
dispositivo afectado, suponiendo que la plataforma y las mitigaciones del servicio estén desactivadas para fines
de desarrollo o si se evitan con éxito", añadió.
En total, Google ha solucionado 14 fallas en el módulo del Sistema y dos fallas en el componente
MediaProvider, la última de las cuales se entregará como una actualización del sistema de Google Play
Severidad
CVSS 3.x Severity and Metrics:
NIST: NVD
Base Score: 7.8 HIGH
Vector:
Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality (C): High
Integrity (I): High
Availability(A):High
Versiones Afectadas
- cpe:2.3:o:google:android:11.0:*:*:*:*:*:*:*
- cpe:2.3:o:google:android:12.0:*:*:*:*:*:*:*
- cpe:2.3:o:google:android:12.1:*:*:*:*:*:*:*
- cpe:2.3:o:google:android:13.0:*:*:*:*:*:*:*
Recomendaciones
Las actualizaciones de seguridad de Android de septiembre se dirigen a las versiones 11, 12 y 13 de Android, lo
que podría afectar a versiones anteriores del sistema operativo no compatibles. Los usuarios que operan con
Android 10 o versiones anteriores deben considerar actualizar a dispositivos que ejecuten versiones
compatibles o considerar actualizar sus dispositivos actuales con ROM de Android de terceros basadas en
versiones recientes de AOSP por razones de seguridad.
Referencias
- NVD - CVE-2023-35674 (nist.gov)
- CVE-2023-35674 | Tenable®
- Zero-Day Alert: Latest Android Patch Update Includes Fix for Newly Actively Exploited Flaw (thehackernews.com)
