Actualizaciones de seguridad de Magic UI/EMUI de HUAWEI Noviembre de 2022
HUAWEI lanza actualizaciones mensuales de seguridad para sus modelos insignia. Esta actualización de seguridad incluye parches de bibliotecas de HUAWEI y de terceros:
Esta actualización de seguridad incluye los siguientes parches de bibliotecas de terceros:
Esta actualización de seguridad incluye las CVE anunciadas en el boletín de seguridad de Android de octubre de 2022:
Muy alta: CVE-2022-25720
Alta: CVE-2022-20412, CVE-2022-20413, CVE-2022-20422, CVE-2022-20421, CVE-2021-0696, CVE-2021-0699, CVE-2021-0951, CVE-2022-20423
Intermedia: CVE-2021-39758, CVE-2022-20415, CVE-2022-25664, CVE-2022-25666, CVE-2022-20253, CVE-2022-20257, CVE-2022-20269, CVE-2022-20273, CVE-2022-20278, CVE-2022-20290, CVE-2022-20313, CVE-2022-20314, CVE-2022-20333, CVE-2022-20334
Baja: ninguna
Ya incluidos en actualizaciones anteriores: CVE-2022-20247, CVE-2022-20271, CVE-2022-20272, CVE-2022-20292, CVE-2022-20297, CVE-2022-20302, CVE-2022-20399, CVE-2021-0986
※ Para obtener más información sobre parches de seguridad, consulte los boletines de seguridad de Android (https://source.android.com/security/bulletin).
Esta actualización de seguridad incluye los siguientes parches de HUAWEI:
CVE-2021-46851: Vulnerabilidad de verificación no estricta del atributo de seguridad de la memoria del módulo DRM
Gravedad: Alta
Versiones afectadas: EMUI12.0.0
Impacto: La explotación con éxito de esta vulnerabilidad por parte de atacantes puede hacer que la reproducción de vídeo no sea normal.
CVE-2021-46852: Vulnerabilidad de omisión de lógica del módulo de gestión de memoria
Gravedad: Media
Versiones afectadas: EMUI12.0.0
Impacto: La explotación con éxito de esta vulnerabilidad afectará a la confidencialidad.
CVE-2022-44546: Vulnerabilidad que consiste en que el módulo kernel libera memoria automáticamente, pero no elimina la asignación
Gravedad: Alta
Versiones afectadas: EMUI12.0.0
Impacto: La explotación con éxito de esta vulnerabilidad puede hacer que el sistema se reinicie.
CVE-2022-44547: Vulnerabilidad de UAF en el módulo Display Service
Gravedad: Alta
Versiones afectadas: EMUI12.0.0
Impacto: La explotación con éxito de esta vulnerabilidad puede hacer que el Display Service se restablezca y se reinicie.
CVE-2022-44548: Vulnerabilidad de verificación de permisos no estrictos durante el enlace Bluetooth
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede hacer que el cuadro de diálogo de confirmación de enlace no se vea en la pantalla durante el enlace Bluetooth.
CVE-2022-44549: Vulnerabilidad de acceso de API de geovalla del módulo LBS
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede hacer que las aplicaciones de terceros accedan a la API de geovalla sin autorización, lo cual afecta a la confidencialidad del usuario.
CVE-2022-44550: Vulnerabilidad de UAF al atravesar las capas en el módulo de visualización de gráficos
Gravedad: Alta
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede afectar a la disponibilidad.
CVE-2022-44551: Vulnerabilidad de seguridad de subprocesos del módulo iaware
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad afectará a la confidencialidad, la integridad y la disponibilidad.
CVE-2022-44552: Vulnerabilidad de defectos introducidos en el proceso de diseño del módulo de pantalla de bloqueo
Gravedad: Media
Versiones afectadas: EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede afectar a la disponibilidad.
CVE-2022-44553: Vulnerabilidad de falta de filtrado de aplicaciones de terceros cuando el módulo HiView atraviesa el sistema para invocar el proveedor del sistema
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede hacer que las aplicaciones de terceros se activen periódicamente.
CVE-2022-44554: Vulnerabilidad de verificación de permisos no estricta del módulo de alimentación
Gravedad: Media
Versiones afectadas: EMUI12.0.0
Impacto: La explotación con éxito de esta vulnerabilidad puede hacer que el estado del módulo no sea normal.
CVE-2022-44555: Vulnerabilidad de apropiación de servicios del módulo DDMP/ODMF
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede hacer que los servicios no estén disponibles.
CVE-2022-44556: Validación del tipo de parámetro faltante en el módulo DRM
Gravedad: Alta
Versiones afectadas: EMUI12.0.0
Impacto: La explotación con éxito de esta vulnerabilidad puede afectar a la disponibilidad.
CVE-2022-44557: Vulnerabilidad de obtención de permisos de lectura y escritura de archivos del sistema del módulo SmartTrimProcessEvent seleccionados de forma arbitraria
Gravedad: Alta
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad afectará a la confidencialidad.
CVE-2022-44558: Discrepancia entre la serialización y deserialización del módulo AMS
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede generar privilegios incrementados.
CVE-2022-44559: Discrepancia entre la serialización y deserialización del módulo AMS
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede generar privilegios incrementados.
CVE-2022-44560: Vulnerabilidad de redireccionamiento intencional del módulo lanzador
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede hacer que los datos del módulo lanzador se modifiquen.
CVE-2022-44561: Vulnerabilidad de verificación de permisos del módulo lanzador preestablecido
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad permite que las aplicaciones no autorizadas añadan de manera arbitraria widgets y accesos directos sin interacción.
CVE-2022-44562: Discrepancia entre la serialización y deserialización en la capa del marco del sistema
Gravedad: Media
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad puede generar privilegios incrementados.
CVE-2022-44563: Vulnerabilidad de condición de carrera en el modo de actualización de SD
Gravedad: Alta
Versiones afectadas: EMUI12.0.1, EMUI12.0.0, EMUI11.0.1
Impacto: La explotación con éxito de esta vulnerabilidad afectará a la confidencialidad.