Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

SICUREZZA MOBILE

Aggiornamenti di sicurezza Android luglio 2019, corrette 4 vulnerabilità critiche: installiamo le patch

L’Android Security Bulletin di questo mese contiene gli aggiornamenti di sicurezza per 33 vulnerabilità individuate nell’OS di Google, tra cui 4 critiche che potrebbero consentire ad un attaccante remoto di eseguire codice arbitrario con privilegi elevati sui dispositivi target. Ecco come applicare le patch

02 Lug 2019

Google ha rilasciato l’Android Security Bulletin del mese di luglio contenente gli aggiornamenti di sicurezza Android con i dettagli di 33 vulnerabilità individuate in diverse componenti del sistema operativo mobile.

Di queste, 4 di tipo RCE (Remote Code Execution) sono state classificate come critiche e individuate nei moduli Media Framework e System. Tutte e quattro queste vulnerabilità potrebbero consentire a un attaccante remoto di eseguire codice arbitrario su un dispositivo mirato, nel contesto di un processo privilegiato, convincendo gli utenti ad aprire un file maligno appositamente creato.

Com’è ormai consuetudine del bollettino di sicurezza Android, gli aggiornamenti sono stati suddivisi in due livelli di patch progressivi identificati come 2019-07-01 security patch level e 2019-07-05 security patch level.

Aggiornare i dispositivi Android: ecco come

Tutte le patch di sicurezza Android sono già state rese disponibili da Google ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza e sono state rilasciate nel repository Android Open Source Project (AOSP).

Al momento non si hanno notizie circa uno sfruttamento di queste vulnerabilità in attacchi reali.

In generale, però, tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

Alcuni dispositivi più “sfortunati”, invece, soprattutto i modelli più economici e meno aggiornati, potrebbero non vedere mai gli aggiornamenti.

In questo caso, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2019-07-01 security patch level, vengono corrette le seguenti 12 vulnerabilità.

WHITEPAPER
Cybersecurity: come superare efficacemente le vulnerabilità delle tecniche di Intelligenza Artificia
Sicurezza
Sicurezza

La prima, di tipo ID (Information Disclosure) e classificata con indice di gravità elevato, interessa il modulo Framework (che funge da strato intermedio tra il sistema operativo e il software che lo utilizza) e potrebbe consentire ad un’applicazione dannosa in esecuzione locale di aggirare i requisiti di interazione utente per ottenere l’accesso a ulteriori permessi e rubare dati riservati:

Un’altra vulnerabilità di tipo RCE (Remote Code Execution) interessa il modulo Library e potrebbe consentire a un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo non privilegiato:

  • CVE-2019-2105 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)

Altre 3 vulnerabilità critiche di tipo RCE interessano il modulo Media Framework e la più grave potrebbe consentire ad un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2019-2106 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2107 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2109 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1 di Android)

Infine, le ultime 7 vulnerabilità del primo pacchetto di patch (la prima di tipo RCE, due di tipo EoP, Elevation of privilege, e quattro di tipo ID) interessano il modulo System e la più grave di queste potrebbe consentire a un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2019-2111 (Critica, per la versione 9 di Android)
  • CVE-2019-2112 (Elevata, per le versioni 8.0, 8.1, 9 di Android)
  • CVE-2019-2113 (Elevata, per la versione 9 di Android)
  • CVE-2019-2116 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2117 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
  • CVE-2019-2118 (Elevata, per le versioni 8.0, 8.1, 9 di Android)
  • CVE-2019-2119 (Elevata, per le versioni 8.0, 8.1, 9 di Android)

Aggiornamenti Android: i dettagli del secondo security patch level

Ecco invece i dettagli per ciascuna delle vulnerabilità di sicurezza contenute nel secondo pacchetto di aggiornamenti, identificato come 2019-07-05 security patch level, e che dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo.

Le prime otto sono state individuate nel modulo Qualcomm components. I dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

Infine, ecco le ultime 13 vulnerabilità identificate nel modulo Qualcomm closed-source components che interessano tutte componenti closed-source del sistema operativo. Anche in questo caso, i dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

Aggiornamenti anche per i dispositivi Google Pixel

In occasione del rilascio dell’Android Security Bulletin di luglio, Google ha pubblicato anche il Pixel Update Bulletin contenente le patch per correggere alcuni problemi di funzionalità dei dispositivi Pixel:

PATCHCOMPONENTEAGGIORNAMENTODISPOSITIVI
A-130340628

A-130625396

HotwordConsente di migliorare la funzionalità del comando “OK Google” e il riconoscimento della musicaPixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL
A-131176531BootloaderRisolve un problema su alcuni dispositivi che si bloccano durante l’avvioPixel 3, Pixel 3 XL
A-122000615

A-133150859

BootloaderRisolve un problema per alcuni dispositivi che si bloccano in modalità di emergenza EDL con uno schermo vuotoPixel 3, Pixel 3, XL, Pixel 3a, Pixel 3a XL
A-131312444UIMigliora il supporto Unicode della lingua giapponesePixel, Pixel XL, Pixel 2, Pixel 2 XL, Pixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL
A-133197843PerformanceMigliora il modulo di sicurezza antimanomissione Titan MPixel 3, Pixel 3 XL, Pixel 3a, Pixel 3a XL
@RIPRODUZIONE RISERVATA

Articolo 1 di 5