Android, gli aggiornamenti di settembre correggono 32 vulnerabilità (e una 0-day)

Android, gli aggiornamenti di settembre correggono 32 vulnerabilità (e una 0-day)

Il bug attivamente sfruttato consente l'esecuzione di codice da remoto senza richiedere interazione dell'utente. Le patch risolvono anche altri 32 bug di sicurezza, fra cui alcuni critici

di pubblicata il , alle 12:01 nel canale Telefonia
GoogleAndroid
 

Google ha rilasciato il bollettino di sicurezza Android relativo al mese di settembre 2023, contenente gli aggiornamenti che correggono diverse decine di vulnerabilità, inclusa una zero-day critica attualmente oggetto di attacchi mirati.

La falla di sicurezza etichettata come CVE-2023-35674 è stata classificata da Google con un rating di gravità pari a "Critical", il massimo livello, poiché consente l'esecuzione di codice da remoto senza richiedere ulteriori privilegi o interazione da parte dell'utente.

Android, rilasciato il bollettino di sicurezza di settembre 2023

Si tratta di un bug presente nel framework Android che aggressori non meglio precisati stanno attivamente sfruttando per compromettere dispositivi mobile e ottenere pieno controllo a distanza. Google ha inoltre indicato che, per via dei miglioramenti implementati sulle versioni di Android più recenti, l'exploit della falla è più difficile su queste ultime. Il consiglio è comunque di aggiornare rapidamente i propri dispositivi, qualora possibile, con le patch di sicurezza di questo mese. Tuttavia, come di consueto, i tempi di rilascio dipenderanno dai singoli vendor.

Oltre alla zero-day, il bollettino di questo mese corregge altre 32 vulnerabilità, tre delle quali (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) anch'esse critiche poiché consentono l'esecuzione di codice da remoto, sebbene richiedano in questo caso un certo livello di accesso o interazione con l'utente.

Tra i bug più gravi troviamo anche una falla critica nei driver Wi-Fi di Qualcomm (CVE-2023-28581), che apre la strada ad attacchi che abilitano l'esecuzione di codice arbitrario o consentono di leggere dati sensibili dalla memoria.

Gli utenti di smartphone Google Pixel riceveranno l'aggiornamento OTA contenente le patch di sicurezza nel corso dei prossimi giorni, mentre per gli altri dispositivi Android i tempi potrebbero essere più lunghi, in base alle policy di rilascio di ciascun produttore. Le versioni interessate dall'aggiornamento sono Android 11, 12 e 13, ma alcune patch potrebbero applicarsi anche a release precedenti.

9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
popye07 Settembre 2023, 12:11 #1
ma quanti ...mila bug ci sono in un S.O.?
tutti casuali e involontari?
non credo altrimenti come farebbero a "spiarci" per benino.
unnilennium07 Settembre 2023, 12:31 #2
senza entrare nel merito delle teorie complottiste, è molto più semplice:

c'è in giro un sistema operativo, abbastanza diffuso c'è sicuramente qualcuno che proverà a violarlo per scopi malevoli, la scoperta di un bug può considerarsi una porta che si può sfruttare, di solito chi la scopre prima la sfrutta, finchè il produttore non si accorge e tappa il buco.
Varg8707 Settembre 2023, 12:33 #3
Originariamente inviato da: popye
ma quanti ...mila bug ci sono in un S.O.?
tutti casuali e involontari?
non credo altrimenti come farebbero a "spiarci" per benino.


Un abbraccio, Adam.
pachainti07 Settembre 2023, 12:48 #4
Originariamente inviato da: popye
ma quanti ...mila bug ci sono in un S.O.?
tutti casuali e involontari?
non credo altrimenti come farebbero a "spiarci" per benino.


Difficile dirlo. Un software come un sistema operativo è complesso, gli sviluppatori per risparmiare tagliano prima di tutto le funzionalità non visibili come la sicurezza, ormai dai tempi di microsoft con windows 95-98 gli utenti sono i beta tester. Se i software venissero testati prima di essere rilasciati, ce ne sarebbero molte meno.
Inoltre, Snowden e WikiLeaks hanno mostrato che le vulnerabilità venivano introdotte volontariamente per scopi di spionaggio. Basta vedere i vari programmi Prism, Vault7, XKeyscore.
coschizza07 Settembre 2023, 13:31 #5
Originariamente inviato da: pachainti
Difficile dirlo. Un software come un sistema operativo è complesso, gli sviluppatori per risparmiare tagliano prima di tutto le funzionalità non visibili come la sicurezza, ormai dai tempi di microsoft con windows 95-98 gli utenti sono i beta tester. Se i software venissero testati prima di essere rilasciati, ce ne sarebbero molte meno.
Inoltre, Snowden e WikiLeaks hanno mostrato che le vulnerabilità venivano introdotte volontariamente per scopi di spionaggio. Basta vedere i vari programmi Prism, Vault7, XKeyscore.


Se i software venissero testati prima di essere rilasciati non cambierebbe nulla visto che i fatti lo confermano
nemmeno i software testati per 30 anni di fila sono esenti da bug questo è un fatto
agonauta7807 Settembre 2023, 13:44 #6
Non ce lo dicono
pachainti07 Settembre 2023, 14:05 #7
Originariamente inviato da: coschizza
Se i software venissero testati prima di essere rilasciati non cambierebbe nulla visto che i fatti lo confermano
nemmeno i software testati per 30 anni di fila sono esenti da bug questo è un fatto


Certo, infatti ho scritto che ce ne sarebbero molto meno, non nessuno.
lollo907 Settembre 2023, 15:13 #8
Originariamente inviato da: pachainti
Difficile dirlo. Un software come un sistema operativo è complesso, gli sviluppatori per risparmiare tagliano prima di tutto le funzionalità non visibili come la sicurezza, ormai dai tempi di microsoft con windows 95-98 gli utenti sono i beta tester. Se i software venissero testati prima di essere rilasciati, ce ne sarebbero molte meno.
Inoltre, Snowden e WikiLeaks hanno mostrato che le vulnerabilità venivano introdotte volontariamente per scopi di spionaggio. Basta vedere i vari programmi Prism, Vault7, XKeyscore.


A parte che i software comunque li testano, e pure parecchio. Stress test, pen test, smoke test, validazioni di tutti i tipi, ecc.
Android liscio ha una codebase da 12mln di righe, cui aggiungerne quasi altri 500mln sotto forma di dipendenze, e senza considerare gl’immensi baracconi cloud a supporto del tutto disseminati in tutto il mondo.
E non è nemmeno solo la quantità il problema, è che poi chi ci lavora va anche coordinato, che non è cosa affatto banale.

Sulla maggior parte delle proprie codebase, nessun vendor ha il pieno controllo, nemmeno se si chiama Google, Microsoft o chicchessia.

Il massimo che puoi fare è testare prima del rilascio fino a che sia ragionevole farlo, e concentrarsi su architetture intrinsecamente più sicure di altre e che siano facili da correggere in corsa.

Fermo restando che una vulnerabilità è tale solo quando la si conosce, fino ad allora non esiste.
pachainti07 Settembre 2023, 16:17 #9
Originariamente inviato da: lollo9
A parte che i software comunque li testano, e pure parecchio. Stress test, pen test, smoke test, validazioni di tutti i tipi, ecc.
Android liscio ha una codebase da 12mln di righe, cui aggiungerne quasi altri 500mln sotto forma di dipendenze, e senza considerare gl’immensi baracconi cloud a supporto del tutto disseminati in tutto il mondo.
E non è nemmeno solo la quantità il problema, è che poi chi ci lavora va anche coordinato, che non è cosa affatto banale.

Sulla maggior parte delle proprie codebase, nessun vendor ha il pieno controllo, nemmeno se si chiama Google, Microsoft o chicchessia.

Il massimo che puoi fare è testare prima del rilascio fino a che sia ragionevole farlo, e concentrarsi su architetture intrinsecamente più sicure di altre e che siano facili da correggere in corsa.

Fermo restando che una vulnerabilità è tale solo quando la si conosce, fino ad allora non esiste.


Certo che li testano, ma per risparmiare e a causa di deadline impossibili spesso vengono rilasciati software ancora in beta e gli utenti finali si occupano della rifinitura.
Per quale motivo anche le grandi software house si comportano così? Perché purtroppo nel software non c'è alcuna responsabilità da parte del produttore in caso di difetti, danni, ecc. come in tutti gli altri settori e quindi nessuno ha interesse a farlo.
Quello che manca è una legislazione appropriata. L'UE sta cercando di creare un quadro normativo Cyber Resilience Act (CRA) che ha ricevuto diverse critiche dalla comunità open source. Speriamo sistemino i difetti emersi e mettano fine al far west.

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^