Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SICUREZZA MOBILE

Aggiornamenti di sicurezza Android dicembre 2019: installiamoli subito per mettere in sicurezza i device

L’Android Security Bulletin di dicembre contiene gli aggiornamenti di sicurezza per 44 vulnerabilità di Android di cui 6 classificate come critiche. La più grave di queste potrebbe consentire l’esecuzione di codice da remoto con privilegi elevati sui dispositivi target mediante un messaggio di testo costruito ad hoc e causare una condizione permanente di Denial of Service. Ecco come applicare le patch

4 giorni fa

Google ha rilasciato l’Android Security Bulletin relativo al mese di dicembre 2019 con gli aggiornamenti di sicurezza per 44 vulnerabilità individuate in diverse componenti del sistema operativo di Google.

Di queste, 6 sono state classificate come critiche, 35 con un indice di gravità elevato e 1 con un indice di gravità moderato. Nel bollettino di sicurezza sono inoltre presenti 2 aggiornamenti per altrettante componenti multimediali di Google Play.

La più grave delle vulnerabilità corrette con gli aggiornamenti del nuovo Android Security Bulletin potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario con privilegi elevati sul dispositivo target e causare una condizione di Denial of Service (DoS) con conseguente blocco del device.

Gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi, come sempre, in due livelli di patch progressivi identificati come 2019-12-01 security patch level e 2019-12-05 security patch level.

Ecco come aggiornare i dispositivi Android

Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).

Per fortuna, non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.

In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2019-12-01 security patch level, vengono corrette le seguenti 15 vulnerabilità, raggruppate in base al componente di sistema che influenzano, oltre ai due aggiornamenti di sistema per Google Play e relativi ai codec multimediali.

Le prime 6 vulnerabilità interessano il modulo Framework (che funge da strato intermedio tra il sistema operativo e il software che lo utilizza): una è di tipo DoS, Denial of Service, quattro sono di tipo EoP, Elevation of Privilege, e 1 di tipo ID, Information disclosure.

La vulnerabilità più grave di questa sezione potrebbe consentire a un aggressore remoto che utilizza un messaggio di testo appositamente creato di causare uno stato permanente di Denial of Service del dispositivo:

Altre 2 vulnerabilità di tipo RCE (Remote Code Execution) interessano, invece, il modulo Media Framework. La vulnerabilità più grave di questa sezione potrebbe consentire a un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2019-2222 (Critica, per le versioni 8.0, 8.1, 9; Moderata per la versione 10 di Android)
  • CVE-2019-2223 (Critica, per le versioni 8.0, 8.1, 9; Moderata per la versione 10 di Android)

Infine, le ultime 7 vulnerabilità di questo primo pacchetto di patch sono state individuate nel modulo System. La prima è di tipo RCE (Remote Code Execution), la seconda di tipo EoP (Elevation of Privilege) e infine le ultime cinque sono di tipo ID (Information Disclosure). Anche in questo caso, la più grave potrebbe consentire a un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

Come dicevamo, in questo primo pacchetto di patch sono inclusi anche due aggiornamenti per i Media Codecs di Google Play:

Aggiornamenti Android: i dettagli del secondo security patch level

Come di consueto, le patch di sicurezza contenute nel secondo pacchetto di aggiornamenti, identificato come 2019-12-05 security patch level, dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo. Ecco i dettagli.

La prima vulnerabilità, di tipo ID (Information Disclosure), è stata individuata nel modulo Framework. Se sfruttata con successo, potrebbe consentire ad un’applicazione dannosa locale di bypassare le protezioni del sistema operativo che isolano i dati dei sensori da altre applicazioni:

Un’altra vulnerabilità, anch’essa di tipo ID (Information Disclosure), è stata individuata nel modulo System e potrebbe consentire ad un’applicazione dannosa locale di bypassare le protezioni del sistema operativo che isolano i dati dei sensori da altre applicazioni:

Altre tre vulnerabilità di tipo EoP sono state individuate nel modulo Kernel Components. La vulnerabilità più grave di questa sezione potrebbe consentire ad un’applicazione dannosa locale di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2018-20961 (Elevata, interessa il componente USB MIDI class function driver)
  • CVE-2019-15220 (Elevata, interessa il componente Prism54 WiFi USB Driver)
  • CVE-2019-15239 (Elevata, interessa il componente TCP Stack)

Altre 12 vulnerabilità sono state individuate nel modulo Qualcomm components. I dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

Le ultime 10 vulnerabilità sono state identificate nel modulo Qualcomm closed-source components che interessano tutte componenti closed-source del sistema operativo. Anche in questo caso, i dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

@RIPRODUZIONE RISERVATA

Articolo 1 di 5