Sin que la mayoria de usuarios lo sepan, se supone que los dispositivos que ejecutan versiones compatibles de Android, reciben pequenas actualizaciones cada mes, principalmente de seguridad.
Desafortunadamente, como senalamos en mayo, cuando y si esto realmente sucede es una cuestion del interes que tenga el fabricante de cada dispositivo.
Las actualizaciones para los telefonos Pixel de Google llegaran en algun momento de esta semana, cubriendo problemas funcionales y de seguridad.
Pero si su dispositivo esta fabricado por otro proveedor, los parches de Android de junio podrian aparecer en cualquier momento desde el proximo mes hasta finales de este ano.
Dado que los dos niveles de parches de junio (2019-06-01 y 2019-06-05) comprenden solo 13 CVE mas otras 9 de Qualcomm, esto podria no sonar como una perdida no tan grande.
Pero si al mismo dispositivo tambien le faltan las actualizaciones anteriores, como le ocurrira a muchos, el numero de parches perdidos pasaria a ser de docenas.
Aumentado la confusion sobre las actualizaciones esta la gran cantidad de versiones de Android, que le dio pie al CEO de Apple, Tim Cook, a decir en la conferencia WWDC 2019 de esta semana que la version mas reciente de Android solo se ejecuta en el 10% de los dispositivos moviles de Google en comparacion con el 85% de los iPhones que ejecutan la ultima version de iOS.
A pesar del modesto recuento de vulnerabilidades, el hecho de que 8 esten marcadas como ‘criticas’ y 14 ‘altas’ es razon suficiente para quererlos implementar lo antes posible, con 2 de los criticos (CVE-2019-2094 y CVE-2019-2095) que solo afectan a la version 9.
Siete son elevacion de privilegios (EoP), cuatro son ejecucion de codigo remoto (RCE), dejando las vulnerabilidades restantes sin designacion.
Por politica, Google no proporciona muchos detalles sobre las vulnerabilidades individualmente, pero si menciona que la vulnerabilidad mas grave de este mes esta en el media framework que podria permitir:
Un atacante remoto que utiliza un archivo especialmente disenado para ejecutar codigo arbitrario en el contexto de un proceso privilegiado.
Mientras tanto, CVE-2019-2097 en el sistema Android podria:
Permite que un atacante remoto use un archivo PAC especialmente disenado para ejecutar codigo arbitrario en el contexto de un proceso privilegiado.
Afortunadamente, el aviso continua, Google no ha recibido informes de que se este explotando ninguna de estas graves vulnerabilidades.
Cualquiera que busque entender la diferencia entre los dos niveles de parches de Android debe leer la explicacion que ofrecimos como parte de la cobertura a los parches de Android de abril.
Los proveedores individuales a menudo publican sus propios avisos ofreciendo informacion mas clara que las actualizaciones oficiales de Android de Google. Por ejemplo, aqui estan las actualizaciones de junio de 2019 para Samsung, Nokia, Motorola, LG y Huawei.
Para manteneros al dia de las ultimas amenazas haceros fans de nuestra pagina de Facebook o siguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletin de seguridad en tu correo electronico, suscribete en la siguiente aplicacion:
4909 Murphy Canyon Road Suite, 500
San Diego, CA 92123
Store
Company
Support
Newsletter
