Android, gli aggiornamenti di settembre correggono 32 vulnerabilità (e una 0-day)
Il bug attivamente sfruttato consente l'esecuzione di codice da remoto senza richiedere interazione dell'utente. Le patch risolvono anche altri 32 bug di sicurezza, fra cui alcuni critici
di Nino Grasso pubblicata il 07 Settembre 2023, alle 12:01 nel canale TelefoniaGoogleAndroid
Google ha rilasciato il bollettino di sicurezza Android relativo al mese di settembre 2023, contenente gli aggiornamenti che correggono diverse decine di vulnerabilità, inclusa una zero-day critica attualmente oggetto di attacchi mirati.
La falla di sicurezza etichettata come CVE-2023-35674 è stata classificata da Google con un rating di gravità pari a "Critical", il massimo livello, poiché consente l'esecuzione di codice da remoto senza richiedere ulteriori privilegi o interazione da parte dell'utente.
Android, rilasciato il bollettino di sicurezza di settembre 2023
Si tratta di un bug presente nel framework Android che aggressori non meglio precisati stanno attivamente sfruttando per compromettere dispositivi mobile e ottenere pieno controllo a distanza. Google ha inoltre indicato che, per via dei miglioramenti implementati sulle versioni di Android più recenti, l'exploit della falla è più difficile su queste ultime. Il consiglio è comunque di aggiornare rapidamente i propri dispositivi, qualora possibile, con le patch di sicurezza di questo mese. Tuttavia, come di consueto, i tempi di rilascio dipenderanno dai singoli vendor.
Oltre alla zero-day, il bollettino di questo mese corregge altre 32 vulnerabilità, tre delle quali (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) anch'esse critiche poiché consentono l'esecuzione di codice da remoto, sebbene richiedano in questo caso un certo livello di accesso o interazione con l'utente.
Tra i bug più gravi troviamo anche una falla critica nei driver Wi-Fi di Qualcomm (CVE-2023-28581), che apre la strada ad attacchi che abilitano l'esecuzione di codice arbitrario o consentono di leggere dati sensibili dalla memoria.
Gli utenti di smartphone Google Pixel riceveranno l'aggiornamento OTA contenente le patch di sicurezza nel corso dei prossimi giorni, mentre per gli altri dispositivi Android i tempi potrebbero essere più lunghi, in base alle policy di rilascio di ciascun produttore. Le versioni interessate dall'aggiornamento sono Android 11, 12 e 13, ma alcune patch potrebbero applicarsi anche a release precedenti.
HONOR Magic 8 Pro: ecco il primo TOP del 2026! La recensione
Insta360 Link 2 Pro e 2C Pro: le webcam 4K che ti seguono, anche con gimbal integrata
Motorola edge 70: lo smartphone ultrasottile che non rinuncia a batteria e concretezza
AWS investe 1,2 miliardi in Italia. Coinvolte 35 imprese per rafforzare l'ecosistema di data center lombardo
La navicella cinese Shenzhou-20 con il finestrino danneggiato da un detrito è rientrata correttamente
I piani Business ed Education di Google Workspace ottengono Flow: video generati da AI da testo e immagini
Ceres-2 e Lunga Marcia 3B: la Cina fallisce due lanci spaziali a breve distanza di tempo
Motorola edge 70 appena uscito e già in offerta: display 120Hz, selfie 50MP e prezzo tagliato a 580€
ARC Raiders non si accontenta: nel 2026 arrivano mappe più grandi, sfide inedite e bottini migliori
Germania, bonus per le auto elettriche da 3 miliardi: dentro anche i brand cinesi (e l'Italia ha già visto una dinamica simile)
Nella causa OpenAI, Elon Musk rivendica fino a 134 miliardi di dollari di presunti guadagni "ingiusti"
DJI Osmo 360 in offerta su Amazon: video 8K a 360° e sensore da 1'' a 447€ (versione Combo Essenziale)
Canada: raggiunto accordo con la Cina, crolla il muro dei dazi (non solo sugli EV)
500 terabyte di libri pirata per addestrare l'AI: il caso legale che coinvolge NVIDIA
Mandiant le pubblica rainbow table Net-NTLMv1: password admin scardinate in 12 ore
Robot aspirapolvere top di gamma al minimo storico: 19.000 Pa e stazione completa a 499€
Changan prepara l'offensiva in Europa: 8 nuovi modelli in 3 anni e più plug-in hybrid per aggirare i dazi UE sulle elettriche cinesi
9 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infotutti casuali e involontari?
non credo altrimenti come farebbero a "spiarci" per benino.
c'è in giro un sistema operativo, abbastanza diffuso c'è sicuramente qualcuno che proverà a violarlo per scopi malevoli, la scoperta di un bug può considerarsi una porta che si può sfruttare, di solito chi la scopre prima la sfrutta, finchè il produttore non si accorge e tappa il buco.
tutti casuali e involontari?
non credo altrimenti come farebbero a "spiarci" per benino.
Un abbraccio, Adam.
tutti casuali e involontari?
non credo altrimenti come farebbero a "spiarci" per benino.
Difficile dirlo. Un software come un sistema operativo è complesso, gli sviluppatori per risparmiare tagliano prima di tutto le funzionalità non visibili come la sicurezza, ormai dai tempi di microsoft con windows 95-98 gli utenti sono i beta tester. Se i software venissero testati prima di essere rilasciati, ce ne sarebbero molte meno.
Inoltre, Snowden e WikiLeaks hanno mostrato che le vulnerabilità venivano introdotte volontariamente per scopi di spionaggio. Basta vedere i vari programmi Prism, Vault7, XKeyscore.
Inoltre, Snowden e WikiLeaks hanno mostrato che le vulnerabilità venivano introdotte volontariamente per scopi di spionaggio. Basta vedere i vari programmi Prism, Vault7, XKeyscore.
Se i software venissero testati prima di essere rilasciati non cambierebbe nulla visto che i fatti lo confermano
nemmeno i software testati per 30 anni di fila sono esenti da bug questo è un fatto
nemmeno i software testati per 30 anni di fila sono esenti da bug questo è un fatto
Certo, infatti ho scritto che ce ne sarebbero molto meno, non nessuno.
Inoltre, Snowden e WikiLeaks hanno mostrato che le vulnerabilità venivano introdotte volontariamente per scopi di spionaggio. Basta vedere i vari programmi Prism, Vault7, XKeyscore.
A parte che i software comunque li testano, e pure parecchio. Stress test, pen test, smoke test, validazioni di tutti i tipi, ecc.
Android liscio ha una codebase da 12mln di righe, cui aggiungerne quasi altri 500mln sotto forma di dipendenze, e senza considerare gl’immensi baracconi cloud a supporto del tutto disseminati in tutto il mondo.
E non è nemmeno solo la quantità il problema, è che poi chi ci lavora va anche coordinato, che non è cosa affatto banale.
Sulla maggior parte delle proprie codebase, nessun vendor ha il pieno controllo, nemmeno se si chiama Google, Microsoft o chicchessia.
Il massimo che puoi fare è testare prima del rilascio fino a che sia ragionevole farlo, e concentrarsi su architetture intrinsecamente più sicure di altre e che siano facili da correggere in corsa.
Fermo restando che una vulnerabilità è tale solo quando la si conosce, fino ad allora non esiste.
Android liscio ha una codebase da 12mln di righe, cui aggiungerne quasi altri 500mln sotto forma di dipendenze, e senza considerare gl’immensi baracconi cloud a supporto del tutto disseminati in tutto il mondo.
E non è nemmeno solo la quantità il problema, è che poi chi ci lavora va anche coordinato, che non è cosa affatto banale.
Sulla maggior parte delle proprie codebase, nessun vendor ha il pieno controllo, nemmeno se si chiama Google, Microsoft o chicchessia.
Il massimo che puoi fare è testare prima del rilascio fino a che sia ragionevole farlo, e concentrarsi su architetture intrinsecamente più sicure di altre e che siano facili da correggere in corsa.
Fermo restando che una vulnerabilità è tale solo quando la si conosce, fino ad allora non esiste.
Certo che li testano, ma per risparmiare e a causa di deadline impossibili spesso vengono rilasciati software ancora in beta e gli utenti finali si occupano della rifinitura.
Per quale motivo anche le grandi software house si comportano così? Perché purtroppo nel software non c'è alcuna responsabilità da parte del produttore in caso di difetti, danni, ecc. come in tutti gli altri settori e quindi nessuno ha interesse a farlo.
Quello che manca è una legislazione appropriata. L'UE sta cercando di creare un quadro normativo Cyber Resilience Act (CRA) che ha ricevuto diverse critiche dalla comunità open source. Speriamo sistemino i difetti emersi e mettano fine al far west.
Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".