​Android: Google arregla dos fallas de día cero explotadas en ataques cibernéticos dirigidos

El nuevo parche de seguridad de noviembre de 2024 para Android lanzado por Google corrige un conjunto de 51 vulnerabilidades, incluidas dos deficiencias de seguridad especialmente peligrosas: CVE-2024-43047 y CVE-2024-43093. La compañía estadounidense menciona un explotación en ataques selectivos : "Al parecer, los siguientes elementos están sujetos a una explotación limitada y selectiva.", se puede leer en el Boletín de seguridad. Como precaución, Google no dio detalles sobre los ataques observados, aunque es real y confirmado por Amnistía Internacional Lab.

​

La primera vulnerabilidad, asociada con la referencia CVE-2024-43047 e reportada por el equipo Google Project zero (Seth Jenkins y Conghui Wang), es del tipo "usado-des-des-free". Está activa en el Procesador de Señalización Digital (DSP) de Qualcomm. La explotación puede llevar a la corrupción de la memoria, permitiendo a los atacantes elevar sus privilegios en el dispositivo Android y comprometerlo.

​

La segunda vulnerabilidad, asociada a la referencia CVE-2024-43093 y presente en el componente llamado Android Framework, también permite la elevación de privilegios en el dispositivo Android.

Más allá de estos dos defectos de seguridad, Google ha corregido otros 49 defectos, sólo uno de los cuales está clasificado como crítico: CVE-2024-38408. También está vinculado a un componente patentado de Qualcomm. Millones de dispositivos Android se ven afectados por estos problemas de seguridad, ya que hay varias versiones de Vulnerable Android 12 a Android 15, que es la última versión. Algunas vulnerabilidades que Google corrigieron en este nuevo parche sólo afectan a algunas versiones de Android.

​

Aplique este parche de seguridad cuando pueda. Todo depende de tu dispositivo y de la capacidad de respuesta del fabricante... Si está utilizando un dispositivo de Google Pixel, la actualización debería estar disponible en los próximos días.