Google lanza un parche de seguridad de Android para una vulnerabilidad de alta gravedad

Google ha identificado y corregido una vulnerabilidad crítica de día cero en su sistema operativo Android que está siendo explotada activamente en la naturaleza.

La vulnerabilidad de alta gravedad rastreada como CVE-2024-32896 (puntuación CVSS: 7.8) se clasifica como un defecto de elevación de privilegios (EoP) de alta gravedad en el firmware de Pixel.

Una vulnerabilidad de elevación de privilegios ocurre cuando un usuario o aplicación con privilegios más bajos obtiene acceso a funciones o contenido que normalmente están reservados para usuarios o aplicaciones con privilegios más altos. Si se explota, un atacante puede realizar acciones como robar datos o instalar malware.

CVE-2024-32896 está relacionada con un error lógico en el componente del marco de Android, que podría llevar a una escalada local de privilegios sin necesidad de privilegios de ejecución adicionales, dice la descripción del error en la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.

Sin embargo, se necesita interacción del usuario para explotar esta vulnerabilidad.

Esta vulnerabilidad fue reportada por primera vez en la actualización de seguridad de Pixel de junio, cuando se lanzó un parche solo para la línea de dispositivos Pixel de Google. Sin embargo, el impacto del defecto CVE-2024-32896 no se limita a los dispositivos Pixel e incluye todo el ecosistema de Android.

“Hay indicios de que CVE-2024-32896 puede estar bajo explotación limitada y dirigida”, escribió Google en su Boletín de Seguridad de Android de septiembre de 2024.

Como es habitual, Google no ha proporcionado ninguna información técnica sobre cómo se está explotando la vulnerabilidad en la naturaleza.

Para protegerse contra posibles explotaciones, se recomienda encarecidamente que todos los usuarios de Android instalen actualizaciones de seguridad de inmediato en sus dispositivos.

Para instalar las últimas actualizaciones de seguridad, vaya a Configuración > Sistema > Actualizaciones de software > Actualización del sistema.

Alternativamente, puede ir a Configuración > Seguridad y privacidad > Sistema y actualizaciones > Actualización de seguridad y hacer clic en el botón ‘Buscar actualizaciones’.

Además de la vulnerabilidad CVE-2024-32896, Google también ha corregido otras nueve fallas de alta gravedad que afectan al marco y al sistema de Android en la actualización de seguridad de septiembre de 2024.