Google lunedì ha pubblicato un bollettino sulla sicurezza che descrive l’ultima serie di patch per il sistema operativo Android. Sono state risolte tre dozzine di vulnerabilità, incluso un problema critico che può essere sfruttato per l’esecuzione di codice in modalità remota tramite Bluetooth o Wi-Fi.
La vulnerabilità critica è tracciata come CVE-2022-20345 e interessa il componente System. È statapatchata con gli aggiornamenti di Android 12 e 12L.
Secondo Google, un utente malintenzionato non richiede privilegi di esecuzione aggiuntivi per eseguire in remoto codice arbitrario tramite un attacco Bluetooth. Non sono disponibili ulteriori dettagli sulla vulnerabilità.
A tutti i restanti bug di sicurezza è stata assegnata una valutazione pesante:”gravità elevata“. Hanno un impatto su componenti come Framework, Media Framework, System, Kernel, Imagination Technologies, MediaTek, Unisoc e componenti Qualcomm. Molti di essi possono portare all’escalation dei privilegi o alla divulgazione di informazioni.
Bisogna stare attenti
Le correzioni per questi difetti sono incluse nei livelli di patch di sicurezza “2022-08-01” e “2022-08-05”. Google rilascia due patch per fornire ai suoi partner la flessibilità necessaria per correggere più rapidamente un sottoinsieme di vulnerabilità simili su tutti i dispositivi. Tuttavia, il gigante della tecnologia consiglia ai partner di utilizzare l’ultimo livello di patch di sicurezza e raggruppare tutte le correzioni in un unico aggiornamento.
Nei suoi dispositivi Pixel, Google ha corretto 40 falle di sicurezza, inclusi quattro problemi critici che interessano il modem. Tre dei punti deboli, che possono portare all’escalation dei privilegi o alla divulgazione di informazioni, sono classificati come “gravità elevata“, mentre al resto è stata assegnata una valutazione di “gravità moderata“.
Samsung ha anche rilasciato aggiornamenti per i suoi modelli di punta per correggere le vulnerabilità di Android, sono stati scoperti oltre 20 difetti nei propri dispositivi.