Aggiornamenti di sicurezza Android marzo 2021, corrette 37 vulnerabilità: installiamo le patch - Cyber Security 360

SICUREZZA MOBILE

Aggiornamenti di sicurezza Android marzo 2021, corrette 37 vulnerabilità: installiamo le patch

Il nuovo Android Security Bulletin di marzo contiene gli aggiornamenti di sicurezza per 37 vulnerabilità, di cui una critica che avrebbe potuto consentire ad un attaccante di eseguire codice arbitrario con privilegi elevati e prendere il controllo del dispositivo. Ecco i dettagli

04 Mar 2021
Paolo Tarsitano

Editor Cybersecurity360.it

Google ha rilasciato il consueto Android Security Bulletin per il mese di marzo 2021 contenente i dettagli delle vulnerabilità di sicurezza che riguardano i dispositivi Android: in questo nuovo pacchetto cumulativo di aggiornamenti sono presenti le patch per 37 problemi di sicurezza, di cui 6 classificate con un indice di gravità critico.

La vulnerabilità più grave (CVE-2021-0397) corretta con gli aggiornamenti di sicurezza del nuovo Android Security Bulletin di marzo è di tipo RCE (Remote Code Execution): individuata nel modulo System e classificata come critica per le versioni 8.1, 9, 10 e 11 di Android, potrebbe consentire ad un attaccante remoto di eseguire codice arbitrario nel contesto di un processo privilegiato.

È evidente che, a seconda dei privilegi associati all’applicazione, un aggressore può installare programmi, visualizzare, modificare o cancellare dati o creare nuovi account con tutti i diritti dell’utente.

Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2021-03-01 security patch level e 2021-03-05 security patch level.

Ecco come aggiornare i dispositivi Android

Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).

WHITEPAPER
Protezione dei sistemi OT: una guida per difendersi dalle minacce.
Fashion
Retail

Per fortuna, non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.

I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.

In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2021-03-01 security patch level, sono state corrette 10 vulnerabilità, raggruppate in base al componente di sistema che influenzano.

Una vulnerabilità, di tipo EoP (Elevation of Privilege), è stata individuata nel modulo Android Runtime e, se sfruttata con successo da un attaccante remoto, potrebbe consentire ad un attaccante locale di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2021-0395 (Elevata, per la versione 11 di Android)

Altre due vulnerabilità sono state individuate nel modulo Framework che funge da strato intermedio tra il sistema operativo e il software che lo utilizza.

Le vulnerabilità sono entrambe di tipo EoP (Elevation of Privilege) e la più grave potrebbe consentire ad un attaccante locale con accesso privilegiato di ottenere l’accesso a dati sensibili:

  • CVE-2021-0391 (Elevata, per le versioni 8.1, 9, 10, 11 di Android)
  • CVE-2021-0398 (Elevata, per la versione 11 di Android)

Altre sette vulnerabilità sono state identificate nel modulo System: in questo caso, come dicevamo, la più grave potrebbe consentire a un aggressore remoto che utilizza una trasmissione appositamente elaborata di eseguire codice arbitrario nel contesto di un processo privilegiato.

Le vulnerabilità sono, nell’ordine, quattro di tipo RCE (Remote Code Execution), due di tipo EoP e una di tipo ID (Information Disclosure):

  • CVE-2021-0397 (Critica, per le versioni 8.1, 9, 10, 11 di Android)
  • CVE-2017-14491 (Elevata, per le versioni 8.1, 9, 10, 11 di Android)
  • CVE-2021-0393 (Elevata, per le versioni 8.1, 9, 10, 11 di Android)
  • CVE-2021-0396 (Elevata, per le versioni 8.1, 9, 10, 11 di Android)
  • CVE-2021-0390 (Elevata, per le versioni 8.1, 9, 10, 11 di Android)
  • CVE-2021-0392 (Elevata, per le versioni 9, 10, 11 di Android)
  • CVE-2021-0394 (Elevata, per le versioni 8.1, 9, 10, 11 di Android)

Nel primo pacchetto di aggiornamenti è presente anche la patch per una vulnerabilità nel Google Play system updates:

  • CVE-2021-0390 (Interessa il modulo WiFi)

Aggiornamenti Android: i dettagli del secondo security patch level

Le patch di sicurezza contenute nel secondo pacchetto di aggiornamenti Android di marzo, identificato come 2021-03-05 security patch level, dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo. Ecco i dettagli.

Una vulnerabilità è stata individuata nel modulo Kernel components, è di tipo EoP e, se sfruttata con successo, potrebbe consentire a un attaccante locale che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

  • CVE-2021-0399 (Elevata, interessa il modulo xt_qtaguid)

Altre quattro vulnerabilità interessano i componenti dei chipset Qualcomm. I dettagli tecnici sono forniti direttamente da Qualcomm, così come la valutazione della gravità di questo problema di sicurezza:

  • CVE-2020-11223 (Elevata, interessa il modulo Camera)
  • CVE-2020-11290 (Elevata, interessa il modulo Display)
  • CVE-2020-11308 (Elevata, interessa il modulo Bootloader)
  • CVE-2020-11309 (Elevata, interessa il modulo Display)

Infine, altre ventidue vulnerabilità sono state identificate nel modulo Qualcomm closed-source components e interessano tutte componenti closed-source del sistema operativo. Anche in questo caso, i dettagli sono elencati nei rispettivi bollettini di sicurezza rilasciati da Qualcomm:

  • CVE-2020-11192 (Critica, interessa un componente closed-source)
  • CVE-2020-11204 (Critica, interessa un componente closed-source)
  • CVE-2020-11218 (Critica, interessa un componente closed-source)
  • CVE-2020-11227 (Critica, interessa un componente closed-source)
  • CVE-2020-11228 (Critica, interessa un componente closed-source)
  • CVE-2020-11165 (Elevata, interessa un componente closed-source)
  • CVE-2020-11166 (Elevata, interessa un componente closed-source)
  • CVE-2020-11171 (Elevata, interessa un componente closed-source)
  • CVE-2020-11178 (Elevata, interessa un componente closed-source)
  • CVE-2020-11186 (Elevata, interessa un componente closed-source)
  • CVE-2020-11188 (Elevata, interessa un componente closed-source)
  • CVE-2020-11189 (Elevata, interessa un componente closed-source)
  • CVE-2020-11190 (Elevata, interessa un componente closed-source)
  • CVE-2020-11194 (Elevata, interessa un componente closed-source)
  • CVE-2020-11195 (Elevata, interessa un componente closed-source)
  • CVE-2020-11198 (Elevata, interessa un componente closed-source)
  • CVE-2020-11199 (Elevata, interessa un componente closed-source)
  • CVE-2020-11220 (Elevata, interessa un componente closed-source)
  • CVE-2020-11221 (Elevata, interessa un componente closed-source)
  • CVE-2020-11222 (Elevata, interessa un componente closed-source)
  • CVE-2020-11226 (Elevata, interessa un componente closed-source)
  • CVE-2020-11299 (Elevata, interessa un componente closed-source)

Ulteriori dettagli sugli aggiornamenti di sicurezza Android di marzo 2021 sono disponibili sulla pagina ufficiale.

[QUIZ] SECURITY/BACKUP
Protezione dei dati: sei sicuro di avere una strategia efficace? Scoprilo nel Quiz
Big Data
Sicurezza
@RIPRODUZIONE RISERVATA

Articolo 1 di 5