Android Security Bulletin (CVE-2023-35674)

En onCreate de WindowState.java, existe una forma posible de iniciar una actividad en segundo plano debido a 
un error lógico en el código. Esto podría conducir a una escalada local de privilegios sin necesidad de 
privilegios de ejecución adicionales. La interacción del usuario no es necesaria para la explotación. Hay indicios 
de que CVE-2023-35674 puede estar bajo explotación limitada y dirigida. 
La actualización también aborda otras tres fallas de escalada de privilegios en Framework, y el gigante de las 
búsquedas señaló que el más grave de estos problemas "podría conducir a una escalada local de privilegios 
sin necesidad de privilegios de ejecución adicionales" sin ninguna interacción del usuario.
Google dijo que además ha solucionado una vulnerabilidad de seguridad crítica en el componente del sistema 
que podría conducir a la ejecución remota de código sin requerir interacción por parte de la víctima.
"La evaluación de la gravedad se basa en el efecto que la explotación de la vulnerabilidad podría tener en un 
dispositivo afectado, suponiendo que la plataforma y las mitigaciones del servicio estén desactivadas para fines 
de desarrollo o si se evitan con éxito", añadió.
En total, Google ha solucionado 14 fallas en el módulo del Sistema y dos fallas en el componente 
MediaProvider, la última de las cuales se entregará como una actualización del sistema de Google Play

Severidad
CVSS 3.x Severity and Metrics:
NIST: NVD
Base Score: 7.8 HIGH
Vector:
Attack Vector (AV): Local
Attack Complexity (AC): Low
Privileges Required (PR): Low
User Interaction (UI): None
Scope (S): Unchanged
Confidentiality (C): High
Integrity (I): High
Availability(A):High

Versiones Afectadas

• cpe:2.3:o:google:android:11.0:*:*:*:*:*:*:*
• cpe:2.3:o:google:android:12.0:*:*:*:*:*:*:*
• cpe:2.3:o:google:android:12.1:*:*:*:*:*:*:*
• cpe:2.3:o:google:android:13.0:*:*:*:*:*:*:*

Recomendaciones

Las actualizaciones de seguridad de Android de septiembre se dirigen a las versiones 11, 12 y 13 de Android, lo 
que podría afectar a versiones anteriores del sistema operativo no compatibles. Los usuarios que operan con 
Android 10 o versiones anteriores deben considerar actualizar a dispositivos que ejecuten versiones 
compatibles o considerar actualizar sus dispositivos actuales con ROM de Android de terceros basadas en 
versiones recientes de AOSP por razones de seguridad.

Referencias

• NVD - CVE-2023-35674 (nist.gov)
• CVE-2023-35674 | Tenable®
• Zero-Day Alert: Latest Android Patch Update Includes Fix for Newly Actively Exploited Flaw (thehackernews.com)

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios