Soporte técnico HUAWEI

HUAWEI lanza actualizaciones mensuales de seguridad para sus modelos insignia. Esta actualización de seguridad incluye parches de bibliotecas de HUAWEI y de terceros:

Esta actualización de seguridad incluye los siguientes parches de bibliotecas de terceros:

Esta actualización de seguridad incluye las CVE anunciadas en el boletín de seguridad de Android de junio de 2023:

Crítica: CVE-2023-21108, CVE-2023-21127

Alta: CVE-2023-21129, CVE-2023-21131, CVE-2023-21136, CVE-2023-21137, CVE-2023-21143, CVE-2023-21144, CVE-2023-21135, CVE-2023-21124, CVE-2023-21121, CVE-2023-21138, CVE-2023-21115, CVE-2023-21657, CVE-2022-28349, CVE-2021-0701, CVE-2021-0945, CVE-2023-21656, CVE-2023-21669

Media: ninguna

Baja: ninguna

Ya incluida en actualizaciones anteriores: ninguna

※ Para obtener más información sobre los parches de seguridad, consulte los boletines de seguridad de Android (https://source.android.com/security/bulletin).

Esta actualización de seguridad incluye los siguientes parches de HUAWEI:

CVE-2021-40014: Vulnerabilidad por error de gestión de información en TA de ID de voz por conducción ósea

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad afectará la confidencialidad.

CVE-2021-40027: Vulnerabilidad por error de cálculo de longitud de búfer en la aplicación confiable de ID de voz por conducción ósea

Gravedad: Alta

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad afectará la confidencialidad.

CVE-2021-40032: Vulnerabilidad por error de gestión de información en TA de ID de voz por conducción ósea

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad afectará la confidencialidad.

CVE-2021-46890: Vulnerabilidad de verificación incompleta de permisos de lectura y escritura en el módulo GPU

Gravedad: Crítica

Versiones afectadas: EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad, la integridad y la disponibilidad del servicio.

CVE-2021-46891: Vulnerabilidad de verificación incompleta de permisos de lectura y escritura en el módulo GPU

Gravedad: Crítica

Versiones afectadas: EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad, la integridad y la disponibilidad del servicio.

CVE-2021-46892: Vulnerabilidad de derivación de encriptación en Modo mantenimiento

Gravedad: Media

Versiones afectadas: EMUI 12.0.1, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad del servicio.

CVE-2021-46893: Vulnerabilidad de verificación no estricta de parámetros y de datos

Gravedad: Crítica

Versiones afectadas: EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la integridad.

CVE-2021-46894: Vulnerabilidad Use After Free (UAF) en el módulo uinput

Gravedad: Alta

Versiones afectadas: EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede hacer que haya privilegios incrementados de kernel.

CVE-2022-48507: Vulnerabilidad de verificación de identidad que se omite en el módulo de almacenamiento

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad del servicio.

CVE-2022-48508: Vulnerabilidad de autorización inadecuada de las aplicaciones del sistema

Gravedad: Alta

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1

Impacto: El aprovechamiento exitoso de esta vulnerabilidad puede afectar la integridad del servicio.

CVE-2022-48509: Vulnerabilidad de condición de carrera debido al acceso de múltiples subprocesos a recursos que se excluyen mutuamente en HUAWEI Share

Gravedad: Media

Versiones afectadas: EMUI 12.0.1, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede hacer que el programa se cierre de forma anormal.

CVE-2022-48510: Vulnerabilidad de verificación de entrada en el módulo AMS

Gravedad: Media

Versiones afectadas: EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad ocasionará operaciones no autorizadas.

CVE-2022-48511: Vulnerabilidad Use After Free (UAF) en el módulo del controlador PCM de audio en condiciones especiales

Gravedad: Media

Versiones afectadas: EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede provocar que las funciones de audio tengan anomalías.

CVE-2022-48512: Vulnerabilidad Use After Free (UAF) en el servicio Vdecoderservice

Gravedad: Alta

Versiones afectadas: EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede provocar que la función de decodificación de imágenes tenga anomalías.

CVE-2022-48513: Vulnerabilidad de verificación de identidad que se omite en el módulo Galería

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1

Impacto: La explotación exitosa de esta vulnerabilidad puede ocasionar un acceso fuera de límites.

CVE-2022-48515: Vulnerabilidad del control de permisos inadecuado en by.apk

Gravedad: Media

Versiones afectadas: EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad del servicio.

CVE-2022-48516: Vulnerabilidad de obtención de un valor único por parte de una aplicación de terceros en el módulo DSoftBus

Gravedad: Media

Versiones afectadas: EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1

Impacto: La explotación exitosa de esta vulnerabilidad afectará la confidencialidad.

CVE-2022-48517: Vulnerabilidad de acceso no autorizado a los servicios en el módulo DSoftBus

Gravedad: Media

Versiones afectadas: EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1

Impacto: La explotación exitosa de esta vulnerabilidad afectará la disponibilidad.

CVE-2022-48518: Vulnerabilidad de la verificación de firma en el sistema iaware que se inicializa más tarde del momento en que se envían las transmisiones del sistema

Gravedad: Media

Versiones afectadas: EMUI 12.0.1, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede provocar que las aplicaciones maliciosas se inicien al encenderse falsificando los nombres de los paquetes de las aplicaciones en la lista de confianza de inicio, lo que afecta el rendimiento del sistema.

CVE-2022-48519: Vulnerabilidad de acceso no autorizado en el módulo SystemUI

Gravedad: Media

Versiones afectadas: EMUI 12.0.1, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad.

CVE-2022-48520: Vulnerabilidad de acceso no autorizado en el módulo SystemUI

Gravedad: Media

Versiones afectadas: EMUI 12.0.1, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad.

CVE-2023-1691: Vulnerabilidad de error al capturar excepciones en el marco de la comunicación

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1

Impacto: La explotación exitosa de esta vulnerabilidad puede provocar que las funciones tengan anomalías.

CVE-2023-1695: Vulnerabilidad de error al capturar excepciones en el marco de la comunicación

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1

Impacto: La explotación exitosa de esta vulnerabilidad puede provocar que las funciones tengan anomalías.

CVE-2023-34164: Vulnerabilidad de la verificación de los parámetros de entrada incompleta en el módulo de marco de comunicación

Gravedad: Media

Versiones afectadas: EMUI 13.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la disponibilidad.

CVE-2023-3455: Vulnerabilidad de gestión de claves en el sistema

Gravedad: Alta

Versiones afectadas: EMUI 13.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la disponibilidad y la integridad del servicio.

CVE-2023-3456: Vulnerabilidad de la fuga de direcciones sin procesar kernel en el módulo detector de suspensión

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la confidencialidad del servicio.

CVE-2023-37238: Vulnerabilidad de los permisos de las aplicaciones para acceder a una determinada API que se verifican de forma incompleta en el módulo de proyección inalámbrica

Gravedad: Media

Versiones afectadas: EMUI 13.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar algunas funciones de proyección inalámbrica.

CVE-2023-37239: Vulnerabilidad de formato de cadena en el sistema de archivos distribuido

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1

Impacto: Los atacantes que omiten el permiso selinux pueden aprovechar esta vulnerabilidad para bloquear el programa.

CVE-2023-37240: Vulnerabilidad de falta de verificación de longitud de entrada en el sistema de archivos distribuido

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.1

Impacto: La explotación exitosa de esta vulnerabilidad puede ocasionar un acceso a la memoria física fuera de los límites.

CVE-2023-37241: Vulnerabilidad de verificación de entrada en la API WMS

Gravedad: Media

Versiones afectadas: EMUI 13.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede hacer que el dispositivo se reinicie.

CVE-2023-37242: Vulnerabilidad de comandos del módem interceptados en el módulo atcmdserver

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.0

Impacto: Los atacantes pueden explotar esta vulnerabilidad para reescribir la memoria de acceso aleatorio no volátil (NVRAM) o facilitar la explotación de otras vulnerabilidades.

Acknowledgment: Mateo De la Hoz, from Skidbladnir Security Labs

CVE-2023-37245: Vulnerabilidad de saturación del búfer en el módulo pinctrl del módem

Gravedad: Media

Versiones afectadas: EMUI 13.0.0, EMUI 12.0.0

Impacto: La explotación exitosa de esta vulnerabilidad puede afectar la integridad y la disponibilidad del módem.