Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SICUREZZA MOBILE

Aggiornamenti di sicurezza Android dicembre 2018: di cosa si tratta e come installarli

Google ha rilasciato nuovi aggiornamenti di sicurezza Android che risolvono svariate vulnerabilità critiche ed elevate nel sistema operativo. Ecco di cosa si tratta e le modalità per installarli sul proprio dispositivo mobile

05 Dic 2018

Paolo Tarsitano


Google ha rilasciato l’ultimo bollettino di sicurezza con i nuovi aggiornamenti Android dell’anno, contenente tutti i dettagli sulle vulnerabilità che interessano i dispositivi mobile e che vengono corrette mediante le patch con versioni datate 2018-12-01 e 2018-12-05.

In particolare, il pacchetto di aggiornamenti è stato suddiviso in due livelli di patch progressive che permettono di risolvere un totale di 53 vulnerabilità in diversi componenti del sistema operativo mobile, di cui 11 critiche e altre 42 di gravità elevata. Le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice da remoto con privilegi elevati sul dispositivo. Ecco perché è importante procedere quanto prima con l’aggiornamento dei dispositivi Android.

Come aggiornare il proprio dispositivo Android

Al momento non si ha notizia che queste vulnerabilità siano attivamente sfruttate in attacchi reali.

Tutte le patch di sicurezza Android sono già state rese disponibili da Google ai partner almeno un mese prima della pubblicazione del bollettino di sicurezza. Gli utenti dei dispositivi Android devono quindi attendere il rilascio degli aggiornamenti da parte dei rispettivi produttori o operatori di telefonia mobile.

Al momento, solo Essential Phone e Samsung hanno già rilasciato i relativi pacchetti di aggiornamento.

Nel caso di Essential Phone, la nuova build del sistema operativo “pesa” circa 58 MB ed è rilasciata in modalità OTA (Over-the-air).

Per quanto riguarda i dispositivi Samsung, invece, in occasione dell’ultimo aggiornamento Android sono state corrette 40 vulnerabilità riscontrate nella personalizzazione del sistema operativo. Anche in questo caso, gli aggiornamenti verranno rilasciati in modalità OTA in maniera graduale nel corso del mese.

Se invece possediamo uno smartphone della serie Pixel o Nexus, possiamo seguire le istruzioni rilasciate da Google a questo indirizzo.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2018-12-01 security patch level, vengono corrette le seguenti due vulnerabilità nel Framework (cioè nel modulo che funge da strato intermedio tra il sistema operativo e il software che lo utilizza):

  • CVE-2018-9547 (Elevata, per le versioni 8.1 e 9 di Android)
  • CVE-2018-9548 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)

Entrambe queste vulnerabilità potrebbero consentire ad un’applicazione dannosa installata nel dispositivo di eseguire codice arbitrario nel contesto di un processo privilegiato.

Altre 7 vulnerabilità critiche interessano, invece, il Media Framework e potrebbero consentire ad un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

Infine, questo primo livello di patch risolve altre 8 vulnerabilità critiche nel modulo System che potrebbero consentire ad un aggressore remoto che utilizza una trasmissione dati appositamente creata di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2018-9555 (Critica, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2018-9556 (Critica, per la versione 9 di Android)
  • CVE-2018-9557 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2 di Android)
  • CVE-2018-9558 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2018-9559 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2018-9560 (Elevata, per la versione 9 di Android)
  • CVE-2018-9562 (Elevata, per la versione 9 di Android)
  • CVE-2018-9566 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)

Aggiornamenti Android: i dettagli del secondo security patch level

Ecco invece i dettagli delle vulnerabilità corrette con il secondo pacchetto di patch, identificato come 2018-12-05 security patch level.

La prima vulnerabilità corretta riguarda il modulo System e potrebbe portare alla divulgazione di informazioni personali senza la necessità di ulteriori privilegi di esecuzione:

  • CVE-2018-9565 (Elevata, interessa il componente OMA-DM, Open Mobile Alliance Device Management Protocol)

Un’altra vulnerabilità del componenti HTC potrebbe consentire a un aggressore locale di aggirare i requisiti di interazione dell’utente per ottenere l’accesso a ulteriori autorizzazioni:

Vengono corretta anche due vulnerabilità nel componente Kernel, la più grave delle quali potrebbe consentire a un aggressore locale di eseguire codice arbitrario nel contesto di un processo privilegiato:

Corrette anche tre vulnerabilità nel modulo Qualcomm components:

Infine, vengono corrette altre 29 vulnerabilità nel modulo Qualcomm closed-source components e che interessano tutte componenti closed-source del sistema operativo:

@RIPRODUZIONE RISERVATA

Articolo 1 di 5