• +54 (011) 4323-9362
  • |
  • de Lun a Vie de 9 a 17 hs
  • |
  • ciberseguridad@ba-csirt.gob.ar

############################
|A|L|E|R|T|A|S| |B|A|-|C|S|I|R|T|
############################

RCE en dispositivos Android al visualizar una imagen PNG

12/02/2019

=============================================
CVE-2019-1986, CVE-2019-1987 y CVE-2019-1988
Fecha de lanzamiento: 08/02/2019
Gravedad: Alta
=============================================

VULNERABILIDAD

Un atacante remoto podría ejecutar código en dispositivos Android si el usuario visualizara una imagen PNG especialmente manipulada. Esto es debido a nuevas vulnerabilidades descubiertas y publicadas en el ‘Android Security Bulletin‘ de febrero.

INFORMACIÓN

La ejecución remota de código (RCE) es la capacidad que tiene un atacante para acceder al dispositivo informático de otra persona y realizar cambios, sin importar dónde esté ubicado geográficamente el dispositivo.

DESCRIPCIÓN

Son varias las vulnerabilidades descubiertas e incluidas en el citado boletín, aunque las más críticas se encuentran al nivel de Framework.

SISTEMAS AFECTADOS

Las versiones de Android afectadas van desde 7.0 Nougat hasta la actual 9.0 Pie.

SOLUCIÓN

Las vulnerabilidades identificadas ya han sido parcheadas por Android Open Source Project (AOSP) junto con las que aparecen en la lista de actualizaciones de seguridad de febrero. Sin embargo debido a la demora de los fabricantes en aplicar las actualizaciones en sus productos, es difícil saber cuando estará disponible la actualización para los dispositivos afectados.
Google destaca que no hay indicios de explotación de estas vulnerabilidades por el momento.

FUENTE

https://hispasec.com/