Google has published in its bulletin 70 security updates for Android, including a fix for a privilege escalation vulnerability present in MediaTek chipsets affecting millions of devices.
Vulnerability, named CVE-2020-0069, it has been classified by Google as high severity. However, in other developer forums like XDA Developer it is rated as 9.3 (critical), as it allows obtaining system privileges without the need to unlock the bootloader.
The flaw is found in the component that manages the processor's command queue and allows overwriting certain kernel processes to escalate privileges. In addition, it disables the “SELinux module”, encargado de proporcionar mecanismos de seguridad al núcleo del sistema. A pesar de que MediaTek resolvió el fallo en mayo de 2019, son pocos los fabricantes que han aplicado los parches correspondientes.
Otras vulnerabilidades consideradas de gravedad crítica se encuentran en el componente “Media framework”, encargado de administrar servicios como el de la cámara o la reproducción de ficheros de audio y vídeo.
La primera de ellas permitiría ejecutar código arbitrario en las versiones 8, 8.1, 9 and 10 Android. Ha sido etiquetada con el código CVE-2020-0032. Otras dos vulnerabilidades consideradas de gravedad alta permitirían elevar privilegios (CVE-2020-0033) o revelar información sensible (CVE-2020-0034).
El mayor número de vulnerabilidades críticas se encuentran en el chip Qualcomm. En total se solucionan 48 fallos, de los cuales 16 son críticos.