La actualización de seguridad de septiembre de Android soluciona vulnerabilidades de día cero explotadas activamente y más

La actualización de seguridad de septiembre de Android aborda vulnerabilidades activamente explotadas y más.

Google lanza actualizaciones mensuales de seguridad para Android. De vez en cuando, esas actualizaciones incluyen parches para problemas que han sido asignados con la calificación de mayor gravedad.

En su boletín de seguridad más reciente, Google anunció que hay evidencia de que CVE-2023-35674, calificado con una gravedad Alta, “puede estar siendo explotado de manera limitada y dirigida”.

También: Google acaba de darle a un widget de Android muy frustrante un lavado de cara con IA, y es un alivio

Este problema en particular es una vulnerabilidad zero-day, lo que significa que era desconocida previamente para cualquier persona capaz de solucionarla y, hasta que los desarrolladores puedan mitigar el problema, los actores maliciosos pueden explotarlo.

Esta vulnerabilidad zero-day permite que los actores malintencionados eleven privilegios sin requerir interacción del usuario.

Antes de que te preocupes demasiado, hay un par de cosas que debes tener en cuenta. Primero, una vulnerabilidad marcada como Alta no es el problema más grave. Crítico es peor que Alta (más sobre eso en un momento).

La segunda cosa es que la escalada de privilegios no es un territorio desconocido para Android. He estado cubriendo Android durante más de una década y he visto vulnerabilidades similares venir y desaparecer como un reloj. La buena noticia es que Google es muy bueno encontrando y parcheándolas.

La mala noticia es que tendrás que esperar hasta que Google lance la actualización de seguridad de septiembre para que tu dispositivo Android esté parcheado contra la vulnerabilidad.

También: Por qué ya no uso lanzadores de terceros en Android

Otra buena noticia es que tu dispositivo Android te avisará cuando la actualización esté lista para tu teléfono y lo único que tendrás que hacer es reiniciar el dispositivo cuando se te indique. Debes hacerlo de inmediato tan pronto como veas la notificación emergente.

Si no estás seguro de qué parche de seguridad tiene tu teléfono, ve a Configuración > Sistema > Actualización de sistema, donde verás tanto la versión de Android en tu dispositivo como la actualización de seguridad que se ha aplicado. En mi Pixel 7 Pro, todavía tengo la actualización de seguridad de agosto, pero asumo que la actualización de septiembre debería estar disponible en cualquier momento.

En cuanto al resto de la actualización de seguridad de septiembre, hay tres vulnerabilidades marcadas como Críticas, que son las siguientes (enumeradas por CVE, Referencia, Tipo, Gravedad y versión de Android):

  • CVE-2023-35658 A-274617156 Ejecución remota de código Crítico 11, 12, 12L, 13
  • CVE-2023-35673 A-273966636 Ejecución remota de código Crítico 11, 12, 12L, 13
  • CVE-2023-35681 A-271335899 Ejecución remota de código Crítico 13

Las vulnerabilidades de Ejecución remota de código (RCE) son de particular preocupación porque permiten que los actores maliciosos ejecuten código malicioso sin tener acceso directo a tu dispositivo.

Para septiembre, Google ha emitido no uno sino dos conjuntos de parches, pero solo el segundo parche (2023-09-05) aborda todos los problemas de seguridad encontrados en el boletín de seguridad, así como los parches para código de terceros y propietario (como un error encontrado en el firmware WLAN de Qualcomm).

También: El próximo evento de hardware de Pixel de Google será el 4 de octubre, y será grandioso o no será

Una cosa a tener en cuenta es que si tienes un teléfono que no es Pixel, el parche de seguridad de septiembre llegará a tu dispositivo un poco más tarde. Esto se debe a que Google envía los parches a los fabricantes de equipos originales (OEM) y luego ellos tienen que probar y ajustar los parches para su hardware. Por lo tanto, si tienes un Samsung, Huawei, OnePlus, Nothing, u otro teléfono Android que no sea de Google, tendrás que esperar un poco más para que llegue el parche.

De cualquier manera, tan pronto como veas esa actualización aparecer en tu dispositivo Android (sin importar el fabricante), aplícala de inmediato.