L’aggiornamento di sicurezza di settembre di Android risolve una vulnerabilità zero-day sfruttata attivamente e altro ancora
Settembre Android security update fixes actively exploited zero-day vulnerability and more
Google rilascia aggiornamenti mensili di sicurezza per Android. Ogni tanto, questi aggiornamenti includono patch per problemi che sono stati assegnati al più alto livello di gravità.
Nel suo più recente bollettino di sicurezza, Google ha annunciato che ci sono prove che CVE-2023-35674, classificato come gravità alta, “potrebbe essere oggetto di un’exploitazione limitata e mirata”.
Inoltre: Google ha appena dato al widget più frustrante di Android un restyling con l’intelligenza artificiale, ed è un sollievo
Questo problema in particolare è una vulnerabilità zero-day, il che significa che prima non era nota a chiunque fosse in grado di risolverla e, finché gli sviluppatori non riescono a mitigare il problema, gli attori minacciosi possono sfruttarla.
Questa vulnerabilità zero-day rende possibile per gli attori malintenzionati aumentare i privilegi senza richiedere l’interazione dell’utente.
- PSA Assicurati di aggiornare, iOS 16.6.1 e macOS 13.5.2 risolvono u...
- I migliori telefoni per bambini per tenerti in contatto
- Questo rumor sul prezzo del Google Pixel 8 mi preoccupa davvero, mo...
Prima di preoccuparti troppo, ci sono un paio di cose da notare. In primo luogo, una vulnerabilità contrassegnata come alta non è il problema più grave. Critico è peggio di alta (ne parleremo tra poco).
La seconda cosa è che l’aumento dei privilegi non è un territorio sconosciuto per Android. Copro Android da oltre dieci anni e ho visto vulnerabilità simili venire e andare come un orologio. La buona notizia è che Google è molto bravo a trovarle e correggerle.
La cattiva notizia è che dovrai aspettare che Google rilasci l’aggiornamento di sicurezza di settembre fino a quando il tuo dispositivo Android non sarà protetto dalla vulnerabilità.
Inoltre: Perché non uso più launcher Android di terze parti
Un’altra buona notizia è che il tuo dispositivo Android ti avviserà quando l’aggiornamento è pronto per il tuo telefono e l’unica cosa che dovrai fare è riavviare il dispositivo quando richiesto. Dovresti farlo immediatamente non appena vedi la notifica.
Se non sei sicuro della patch di sicurezza presente sul tuo telefono, vai su Impostazioni > Sistema > Aggiornamento di sistema, dove vedrai sia la versione di Android sul tuo dispositivo che l’aggiornamento di sicurezza applicato. Sul mio Pixel 7 Pro, sono ancora con l’aggiornamento di sicurezza di agosto ma presumo che l’aggiornamento di settembre dovrebbe essere disponibile in qualsiasi momento.
Per quanto riguarda il resto dell’aggiornamento di sicurezza di settembre, ci sono tre vulnerabilità contrassegnate come critiche, che sono le seguenti (elencate per CVE, Riferimento, Tipo, Gravità e versione di Android):
- CVE-2023-35658 A-274617156 Esecuzione remota di codice (RCE) Critica 11, 12, 12L, 13
- CVE-2023-35673 A-273966636 Esecuzione remota di codice (RCE) Critica 11, 12, 12L, 13
- CVE-2023-35681 A-271335899 Esecuzione remota di codice (RCE) Critica 13
Le vulnerabilità di esecuzione remota di codice (RCE) sono particolarmente preoccupanti perché rendono possibile per gli attori minacciosi eseguire codice dannoso senza avere accesso diretto al tuo dispositivo.
Per settembre, Google ha rilasciato non una, ma due serie di patch, ma solo la seconda patch (2023-09-05) affronta tutti i problemi di sicurezza trovati nel bollettino di sicurezza, nonché le patch per il codice proprietario di terze parti (come un bug trovato nel firmware WLAN Qualcomm).
Inoltre: Il prossimo evento hardware di Google Pixel sarà il 4 ottobre, e sarà un evento importante
Una cosa da tenere presente è che se hai un telefono non Pixel, la patch di sicurezza di settembre arriverà sul tuo dispositivo un po’ più tardi. Questo perché Google invia le patch ai produttori di dispositivi originali (OEM) e loro devono testare e ottimizzare le patch per il loro hardware. Quindi, se hai un Samsung, Huawei, OnePlus, Nothing o un altro telefono Android che non è di Google, dovrai aspettare un po’ più a lungo affinché la patch arrivi.
In ogni caso, non appena vedrai che l’aggiornamento appare sul tuo dispositivo Android (qualunque sia il produttore), applicalo immediatamente.
