Ya sabemos que el parche de seguridad de enero empezará a ser descargable en las primeras semanas de 2017, pero no tenemos ni idea de lo que podría contener. Google aún no ha confirmado cuándo va a lanzar la actualización de seguridad ni sus componentes. Por suerte, el operador estadounidense Verizon ha confirmado que el parche de seguridad de enero estará disponible a principios del año que viene, así que es probable que falte menos de una semana para su lanzamiento. Pero si quieres saber sus contenidos antes de que Google lo lance, entonces tienes suerte, dado que LG ha hecho lo impensable y ha publicado el boletín de seguridad de enero entero antes de que el gigante de los buscadores pudiera hacerlo.
«El Boletín de Seguridad de enero contiene 81 parches para vulnerabilidades de Google y LG. Las más severas de estas vulnerabilidades son vulnerabilidades de seguridad crítica que permitirían la ejecución remota de código en un dispositivo afectado a través de múltiples métodos como email, navegación web y MMS cuando se procesan archivos multimedia,» dice el boletín.
Aparte de las vulnerabilidades mencionadas, LG también ha revelado algunas vulnerabilidad y exposiciones (LVE) propias. Hay ocho objetos LVE de LG: 1 crítico, 2 alto, 4 moderado y 1 bajo.
La vulnerabilidad crítica se refiere a smartphones LG que funcionan con chipset MediaTek, dado que la aplicación MTKLogger que recoge información personal para almacenarla sin el consentimiento del usuario podría ser aprovechada por aplicaciones de terceros sin consentimiento del usuario.
Esta no es la primera vez que MediaTek recibe un toque de atención por su falta de seguridad, dado que el fabricante de chipsets taiwanés es conocido por esconder software de monitorización de terceros de los fabricantes de dispositivos.
La vulnerabilidad alta a la que se refiere el parche de seguridad de enero se refiere a dispositivos del driver LG Touchscreen. Aquí está la descripción completa: «una elevación del privilegio de vulnerabilidad en write_file/write_log del driver LG touch podría permitir que una aplicación maliciosa local ejecutase código arbitrario dentro del contexto del kernel.»
