Google y Microsoft corrigen vulnerabilidades graves en Android y Windows

Es habitual que cada cierto tiempo se publiquen parches que solucionan fallos o vulnerabilidades en aplicaciones y sistemas operativos. Esto es aun más importante en aquellas plataformas que cuentan con cientos de millones de usuarios en todo el mundo, como son los dos sistemas operativos más utilizados: Android y Microsoft.

Boletín de seguridad de Android

Todos los meses Google publica un boletín de seguridad donde se solucionan vulnerabilidades de diferente consideración en el sistema Android, utilizado por millones de smartphones, tabletas y muchos otros tipos de dispositivos. En el boletín de abril, Google ha alertado de la existencia de nueve vulnerabilidades críticas en Android, vulnerabilidades que van desde la ejecución remota de código malicioso hasta un fallo de seguridad en el componente wifi proporcionado por Qualcomm, que permitiría a un atacante ejecutar código arbitrario con privilegios mediante un fichero especialmente preparado.

Los boletines de seguridad de Android de este mes incluyen un total de 28 parches, de los cuales 9 han sido considerados como críticos. Google espera proporcionar en breve las actualizaciones correspondientes a los dispositivos Pixel y Nexus mediante una actualización OTA (Over-the-Air), aunque los dispositivos principales de otros fabricantes también recibirán su ración de actualizaciones.

No obstante, la gran mayoría de dispositivos Android no recibe ninguna de estas actualizaciones y esto es un problema serio, puesto que pone en riesgo la seguridad de cientos de millones de usuarios. Este es un problema con el que Google lleva lidiando desde hace años y que, poco a poco, intenta solucionar con iniciativas como Android One para conseguir que cada vez más fabricantes implementen una versión de Android lo más pura posible y cuenten con actualizaciones de seguridad.

Si disponemos de alguno de los dispositivos que reciben actualizaciones periódicas es recomendable instalarlas cuando estas se encuentren disponibles, para así tener nuestros dispositivos más protegidos frente a posibles amenazas.

Microsoft arregla una actualización que salió mal

Cuando a principios de año hablamos de Meltdown y Spectre, muchos se preguntaron si estas vulnerabilidades podían ser arregladas sin sustituir el hardware afectado y si estas actualizaciones tardarían mucho tiempo en estar disponibles. Afortunadamente, las actualizaciones no se hicieron esperar, tanto por los fabricantes de los procesadores afectados como por parte de los desarrolladores de sistemas operativos.

No obstante, ya fuera por las prisas o por no haber revisado a fondo la vulnerabilidad, el parche publicado por Microsoft para mitigar Meltdown introdujo una vulnerabilidad más grave todavía, ya que permitía  a un atacante utilizar un proceso arbitrario para poder monitorizar y modificar el contenido de la memoria a una velocidad que podía llegar a alcanzar varios gigabytes por segundo.

Afortunadamente, esta vulnerabilidad no afectaba a todos los sistemas Windows y se limita a Windows 7 SP1 64 bits y Windows Server 2008 R2 SP1. Para aprovechar esta vulnerabilidad, un atacante debería primero registrarse en el sistema y, seguidamente, ejecutar una aplicación modificada de forma especial para poder tomar el control del sistema. Esto es posible porque Windows fallaría a la hora de manejar objetos en la memoria, por lo que el atacante que cumpliese los requisitos podría ejecutar código arbitrario en modo kernel e instalar aplicaciones, ver, modificar o eliminar datos o incluso crear nuevas cuentas de usuarios con permisos de administrador.

Existe una prueba de concepto desarrollada por el investigador Ulf Frisk que explica cómo explotar esta vulnerabilidad, por lo que se recomienda aplicar el parche lo antes posible, no sea que algún delincuente decida aprovechar este agujero de seguridad.

Conclusión

Tanto Google como Microsoft gozan de una posición predominante en sus respectivos mercados y esto les otorga la importante responsabilidad de mantener seguros a sus usuarios. Mientras se publiquen boletines de seguridad que puedan ser aplicados en nuestros dispositivos, también es responsabilidad de los usuarios aplicarlas, por lo que se recomienda instalar las actualizaciones en el menor plazo de tiempo, siempre que sea posible.

Josep Albors

Ataques a routers protagonizan algunos de los incidentes más destacados recientemente