Google ha rilasciato l’Android Security Bulletin di dicembre 2021 contenente i dettagli delle vulnerabilità di sicurezza che riguardano i dispositivi Android: le patch presenti nel nuovo pacchetto cumulativo di aggiornamenti risolvono 49 problemi di sicurezza, di cui sei classificati come critici.
La vulnerabilità più grave corretta con l’aggiornamento di sicurezza del nuovo Android Security Bulletin di dicembre è di tipo ID (Information Disclosure): individuata nel modulo Media Framework, portare alla divulgazione di informazioni da remoto senza la necessità di ulteriori privilegi di esecuzione.
Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2021-12-01 security patch level e 2021-12-05 security patch level.
Indice degli argomenti
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch, identificato come 2021-12-01 security patch level, sono state corrette 17 vulnerabilità, raggruppate in base al componente di sistema che influenzano.
Le prime tre vulnerabilità sono state identificate nel modulo Framework di Android, che funge da strato intermedio tra il sistema operativo e il software che lo utilizza. La più grave potrebbe portare alla corruzione della memoria da parte di un attaccante locale, senza privilegi o interazione da parte dell’utente.
Le vulnerabilità, due di tipo EoP (Elevation of Privilege) e una di tipo ID (Information Disclosure), sono classificate tutte con un livello di gravità elevato: CVE-2021-0955, CVE-2021-0970, CVE-2021-0704.
Altre due vulnerabilità sono state identificate nel modulo Media Framework. La prima (CVE-2021-0967) è di tipo ID e ha un livello di gravità elevato sulle versioni 10, 11 e 12 di Android. La stessa ha invece in indice di gravità critico ed è di tipo RCE (Remote Code Execution) sul Android 9.
La seconda vulnerabilità (CVE-2021-0964) è anch’essa di tipo ID con un livello di gravità elevato e interessa le versioni 9, 10, 11 e 12 di Android.
La vulnerabilità più grave in questa sezione potrebbe portare alla divulgazione di informazioni da remoto senza la necessità di ulteriori privilegi di esecuzione.
Sono state poi identificate altre 10 vulnerabilità nel componente System: la prima, di tipo RCE, è stata classificata come critica; altre cinque, di tipo EoP, sono state classificate una con un livello di gravità critico e le altre con un livello di gravità elevato; altre due classificate con una gravità elevata sono di tipo ID; infine, le ultime due, sono di tipo DoS (Denial of Service) e hanno un indice di gravità moderato.
La vulnerabilità più grave in questa sezione potrebbe consentire a un attaccante remoto di eseguire codice arbitrario nel contesto di un processo privilegiato: CVE-2021-0968, CVE-2021-0956, CVE-2021-0953, CVE-2021-0954, CVE-2021-0963, CVE-2021-0965, CVE-2021-0952, CVE-2021-0966, CVE-2021-0958, CVE-2021-0969.
Infine, nel primo security patch level di dicembre 2021 sono presenti anche due aggiornamenti per il Google Play System: CVE-2021-0964, CVE-2021-0967 che interessano, rispettivamente, i componenti Media Codecs e Media Framework components.
Le vulnerabilità del secondo security patch level
Con il secondo pacchetto di patch, identificato come 2021-12-05 security patch level, sono state corrette altre 32 vulnerabilità, raggruppate in base al componente di sistema che influenzano e dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo.
Una vulnerabilità (CVE-2021-0971) di tipo ID e con livello di gravità elevato è stata identificata nel componente Media Framework. Se sfruttata, potrebbe portare alla divulgazione di informazioni in remoto senza la necessità di ulteriori privilegi di esecuzione.
Tre vulnerabilità, due di tipo EoP e di gravità elevata, una di tipo ID e livello di gravità moderato, interessano i componenti del kernel Android: CVE-2021-33909, CVE-2021-38204, CVE-2021-0961.
La vulnerabilità più grave in questa sezione potrebbe portare ad un overflow di interi, un Out-of-bounds Write e l’escalation a root da parte di un utente non privilegiato.
Altre due vulnerabilità (CVE-2021-0675, CVE-2021-0904) classificate con indice di gravità elevato sono state identificate nei componenti MediaTek. I dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da MediaTek nel rispettivo bollettino di sicurezza.
Altre tre vulnerabilità (CVE-2021-30262, CVE-2021-30335, CVE-2021-30337), tutte con indice di gravità elevato, sono state identificate nei componenti Qualcomm: i dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da Qualcomm nel rispettivo bollettino di sicurezza.
Infine, altre 22 vulnerabilità (le prime tre classificate con un indice di gravità critico e le altre con un indice di gravità elevato) sono state identificate nei componenti Qualcomm closed-source: anche in questo caso, i dettagli tecnici e la valutazione della gravità delle vulnerabilità sono forniti direttamente da Qualcomm nei rispettivi bollettini di sicurezza.
Ulteriori dettagli sugli aggiornamenti di sicurezza Android di dicembre 2021 sono disponibili sulla pagina ufficiale.
