9 abril, 2021

9VSA21-00418-01 CSIRT advierte de vulnerabilidades en Google Android

Resumen

El Equipo de Respuesta ante Incidentes de Seguridad Informática, CSIRT de Gobierno, comparte información sobre vulnerabilidades en Google Android.

Este informe incluye las medidas de mitigación, consistentes en instalar la última actualización de los productos afectados.

Vulnerabilidades

CVE-2020-11237

CVE-2020-25705

CVE-2020-11234

CVE-2020-11210

CVE-2020-11191

CVE-2020-11236

CVE-2020-11242

CVE-2020-11243

CVE-2020-11245

CVE-2020-11246

CVE-2020-11247

CVE-2020-11251

CVE-2020-11252

CVE-2020-11255

CVE-2020-15436

CVE-2021-0444

CVE-2021-0443

CVE-2021-0438

CVE-2021-0442

CVE-2021-0439

CVE-2021-0432

CVE-2021-0427

CVE-2021-0426

CVE-2021-0400

CVE-2021-0468

CVE-2021-0428

CVE-2021-0445

CVE-2021-0435

CVE-2021-0446

CVE-2021-0431

CVE-2021-0433

CVE-2021-0429

CVE-2021-0430

CVE-2021-0471

CVE-2021-0436

CVE-2021-0437

Impactos

Estas vulnerabilidades son consideradas por Google como de riesgo bajo, medio y alto. Sus efectos incluyen desbordamiento de buffer, uso de memoria luego de ser liberada y la capacidad de evadir restricciones de seguridad, entre otros.

La vulnerabilidad de riesgo alto es CVE-2021-0430, que permite a un atacante remoto ejecutar código arbitrario en el equipo objetivo debido a un error de límites de memoria al procesar ciertos archivos. El atacante puede crear un archivo y engañar a la víctima para que lo abra, detonando corrupción de memoria y ejecutando código arbitrario.

Productos Afectados

Google Android versiones anteriores a la 11.0 2021-04-05.

Mitigación

Instalar las respectivas actualizaciones desde el sitio web del proveedor cuando estén disponibles.

Enlaces

https://source.android.com/security/bulletin/2021-04-01

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11237

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25705

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11234

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11210

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11191

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11236

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11242

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11243

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11245

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11246

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11247

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11251

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11252

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11255

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-15436

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0444

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0443

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0438

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0442

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0439

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0432

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0427

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0426

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0400

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0468

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0428

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0445

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0435

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0446

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0431

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0433

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0429

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0430

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0471

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0436

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-0437

Informe

El informe oficial publicado por el CSIRT del Gobierno de Chile está disponible en el siguiente enlace: 9VSA21-00418-01.

9VSA21-00418-01 CSIRT advierte de vulnerabilidades en Google Android