Investigadores de seguridad de Core Security han informado de una vulnerabilidad en Wi-Fi Direct Android que permite denegación de servicio DoS (CVE-2014-0997).
Google ha comunicado que la vulnerabilidad es de baja gravedad y por ello no tiene previsto fecha para el parche.
Se da la circunstancia que Core Security informó a Google de la vulnerabilidad en el mes de septiembre y ésta no ha proporcionado un parche hasta la fecha. Lo mismo que Google realiza con su Project Zero cuando revela vulnerabilidades de otros fabricantes de software como Microsoft o Apple y publica las vulnerabilidades en un plazo de 90 días, estén o no parcheadas.
Wi-Fi Direct es un estándar que permite que varios dispositivos se comuniquen mediante la norma inalámbrica Wi-Fi sin necesidad de un punto de acceso intermedio.
La vulnerabilidad permite ataques de denegación de servicio DoS al subsistema Dalvik apagando o reiniciando los terminales. Se ha comprobado que afecta a terminales:
- Nexus 5 – Android 4.4.4
- Nexus 4 – Android 4.4.4
- LG D806 – Android 4.2.2
- Samsung SM-T310 – Android 4.2.2
- Motorola RAZR HD – Android 4.1.2
Ciertamente la vulnerabilidad no es grave pero abre el debate de la estrategia de revelarlas antes de parchearlas. Y esta vez le toca a Google.
Deja un comentario