Se han revelado cuatro vulnerabilidades de alta gravedad en un marco utilizado por aplicaciones del sistema Android preinstaladas con millones de descargas.<\/p>\n
Los problemas, ahora resueltos por su desarrollador israel\u00ed MCE Systems, podr\u00edan haber permitido potencialmente que los actores de amenazas realicen ataques remotos y locales o que se abuse de ellos como vectores para obtener informaci\u00f3n confidencial aprovechando sus amplios privilegios del sistema.<\/p>\n
“Al igual que con muchas de las aplicaciones preinstaladas o predeterminadas que vienen con la mayor\u00eda de los dispositivos Android en estos d\u00edas, algunas de las aplicaciones afectadas no se pueden desinstalar o deshabilitar por completo sin obtener acceso de root al dispositivo”, dijo el equipo de investigaci\u00f3n de Microsoft 365 Defender. dijo<\/a> en un informe publicado el viernes.<\/p>\n A las debilidades, que van desde la inyecci\u00f3n de comandos hasta la escalada de privilegios locales, se les han asignado los identificadores CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 y CVE-2021-42601, con puntajes CVSS entre 7.0 y 8.9.<\/p>\n Las vulnerabilidades se descubrieron e informaron en septiembre de 2021 y no hay evidencia de que las deficiencias se est\u00e9n explotando en la naturaleza.<\/p>\n Microsoft no revel\u00f3 la lista completa de aplicaciones que utilizan el marco vulnerable en cuesti\u00f3n, que est\u00e1 dise\u00f1ado para ofrecer mecanismos de autodiagn\u00f3stico para identificar y solucionar problemas que afectan a un dispositivo Android.<\/p>\n Esto tambi\u00e9n signific\u00f3 que el marco ten\u00eda amplios permisos de acceso, incluidos audio, c\u00e1mara, energ\u00eda, ubicaci\u00f3n, datos de sensores y almacenamiento, para llevar a cabo sus funciones. Junto con los problemas identificados en el servicio, Microsoft dijo que podr\u00eda permitir que un atacante implante puertas traseras persistentes y tome el control.<\/p>\n![\"La](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjs4_qytN4g_voTT8EnYjXf1exVDRaJAFCbNDgniqiJGlOEIxqyqhdyepXuEycqrdL2O8Kr9N1ECYeAOpkm3SjCEZ3v4qkn2U35_5ruG01Jl6vd63zdMh5L62awds2UV50QyzEtSbzrTrWmYwmbBHxi4Tgjz-VueHJyMj-Wq40R--saAZfQBzuZQpWkIw\/s1600\/Bitbucket-ads.png\")
<\/a><\/div>\n\n\n
\n ![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1653734329_87_Microsoft-encuentra-errores-criticos-en-aplicaciones-preinstaladas-en-millones-de.jpg\")
<\/td>\n<\/tr>\n\n C\u00f3digo de explotaci\u00f3n de prueba de concepto (POC) de inyecci\u00f3n de comandos<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n \n\n
\n ![\"\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/05\/1653734329_728_Microsoft-encuentra-errores-criticos-en-aplicaciones-preinstaladas-en-millones-de.jpg\")
<\/td>\n<\/tr>\n\n Inyectar un c\u00f3digo JavaScript similar a WebView<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/04\/1650020196_834_Haskers-Gang-regala-malware-ZingoStealer-a-otros-ciberdelincuentes-de-forma.jpg\")
<\/a><\/div>\n