La advertencia de Android afecta a millones de usuarios.
Hay un inconveniente con la actualización de seguridad de Android del mes vigente, cuyos detalles se publicaron esta semana. Google ha confirmado que dos vulnerabilidades corregidas en el comunicado “pueden estar bajo explotación limitada y dirigida”. No hay nada en especial desapacible allá, salvo que una de esas amenazas, CVE-dos mil veinticuatro-cuarenta y tres mil cuarenta y siete, que afecta a determinados conjuntos de chips de Qualcomm, provocó una advertencia del gobierno de EE. UU. con el orden de actualizar o dejar de emplear los teléfonos Android perjudicados ya antes del veintinueve de octubre. Meridianamente es imposible de hacer.
El ocho de octubre, la agencia de ciberseguridad del gobierno de EE. UU. advirtió a los usuarios que “Varios conjuntos de chips de Qualcomm poseen una vulnerabilidad de uso tras la liberación debido a la corrupción de la memoria en los servicios DSP mientras que se sostienen los mapas de memoria de la memoria HLOS”, lo que fuerza a todos y cada uno de los empleados federales a “aplicar soluciones o mitigaciones conforme las instrucciones del proveedor”, ya antes del veintinueve de octubre, “o suspender el uso”. del producto si no se hallan libres remediaciones o mitigaciones”.
En cuanto a esas soluciones, Qualcomm afirma que puso las soluciones a predisposición de los OEM de dispositivos en el mes de septiembre y los instó a incorporar esos parches “en los dispositivos lanzados cuanto antes”. Aunque esos parches ahora son una parte del lanzamiento de noviembre de Android y van a llegar a los pixeles tan pronto como se actualicen, la historia para otros OEM cambiará. Samsung, por poner un ejemplo, aún no ha confirmado esta actualización y faltaba en su actualización de seguridad de noviembre publicada exactamente el mismo día que la de Android.
Conjuntos de chips perjudicados.
Si bien el orden oficial de CISA conforme su catálogo de vulnerabilidades explotadas conocidas (KEV) solo se aplica al personal federal, la agencia opera “en beneficio de la comunidad de ciberseguridad y los defensores de la red, y para asistir a todas y cada una de las organizaciones a administrar mejor las vulnerabilidades y sostenerse al día con la actividad de amenazas”. Las organizaciones deben emplear el catálogo KEV como aporte a su marco de priorización de administración de vulnerabilidades”. Como tal, los empleados de otras entidades públicas y privadas asimismo deberían aplicar otras actualizaciones tan pronto como estén libres. La advertencia inicial de explotación vino del Conjunto de Análisis de Amenazas de Google, que sugiere que es grave y que seguramente sea software espía, una amenaza para las compañías.
Los usuarios de teléfonos inteligentes pueden ver los conjuntos de chips perjudicados enumerados previamente, y la mayor parte de los usuarios van a poder equiparar el modelo de su teléfono inteligente con esos conjuntos de chips perjudicados acá. Todos y cada uno de los OEM de Android deberían lanzar la actualización ahora que está libre, si bien los usuarios aún van a estar en deuda con los modelos, zonas, operadores y estados de bloqueo para determinar en qué momento va a llegar a su dispositivo. Para todo el personal federal con teléfonos perjudicados, ya pasó la data límite y deben cerciorarse de que se les haya visto para actualizar cuanto antes. Para otros, verdaderamente se aplica exactamente el mismo consejo. No deje los dispositivos desamparados más tiempo del preciso y hasta el momento en que son actualizado, teniendo cuidado con lo que hace click, instala y abre.
También hubo otra vulnerabilidad de día cero parcheada en las versiones de noviembre de Android: CVE-dos mil veinticuatro-cuarenta y tres mil noventa y tres. Este era uno de Google y afecta el marco de Google Play, que ha estado en las noticias por otras razones esta semana, ocasionando caos en determinados teléfonos Pixel e impidiendo que las aplicaciones se ejecuten. este parche hizo Ingrese al SMR de noviembre de Samsung y va a poder contrastar los detalles de actualización de su OEM usando los sitios frecuentes o las listas de dispositivos.
Con dos vulnerabilidades graves explotadas y el retraso en la data límite de actualización de CISA, el lanzamiento del mes vigente adquiere una nota más seria de lo común. Actualiza tu teléfono tan pronto como puedas.