Come ogni primo lunedì del mese, Google ha pubblicato il nuovo bollettino di sicurezza Android che contiene i dettagli di tutte le 81 vulnerabilità di sicurezza risolte con il relativo aggiornamento di sicurezza.
Nell’ultimo Android Security Bulletin dell’anno sono state rese note diverse vulnerabilità di sicurezza che riguardano i componenti Android Runtime, Framework, Media Framework, System e Google Play, corrette con il pacchetto cumulativo di patch identificato come 2022-12-01 security patch level.
Inoltre, Google ha affrontato anche un gruppo di vulnerabilità nei componenti dei fornitori closed-source che sono state risolte con il secondo pacchetto cumulativo di aggiornamenti identificato come 2022-12-05 security patch level.
La vulnerabilità più grave corretta in occasione dell’Android Security Bulletin di dicembre 2022 è stata identificata nel componente System e potrebbe portare all’esecuzione di codice remoto tramite Bluetooth senza la necessità di ulteriori privilegi di esecuzione.
Gli aggiornamenti riguardano i dispositivi Android con le versioni 10, 11, 12 e 13 del sistema operativo: come di consueto, i primi dispositivi a ricevere gli aggiornamenti saranno quelli della serie Pixel di Google.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di dicembre 2022 sono disponibili sulla pagina dedicata.
Indice degli argomenti
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch contenute nell’Android Security Bulletin di dicembre 2022, identificato come 2022-12-01 security patch level, sono state corrette 41 vulnerabilità, raggruppate in base al componente di sistema che influenzano. A queste si aggiungono altre quattro patch per il Google Play System, per un totale di 45 problemi risolti con il primo pacchetto cumulativo di aggiornamenti.
La prima vulnerabilità corretta con l’Android Security Bulletin di dicembre 2022 è stata identificata nei componenti Android Runtime: se sfruttata, potrebbe portare alla divulgazione di informazioni locali senza la necessità di ulteriori privilegi di esecuzione.
Tracciata come CVE-2022-20502, è di tipo ID (Information Disclosure) e riguarda i dispositivi su cui è installata la versione 13 di Android.
Altre venti vulnerabilità sono state identificate nel componente Framework che, come sappiamo, funge da strato intermedio tra il sistema operativo e il software che lo utilizza.
Due di queste vulnerabilità (CVE-2022-20472 e CVE-2022-20473) hanno un indice di gravità elevato e sono di tipo RCE (Remote Code Execution). Altre tredici sono di tipo EoP (Elevation of Privilege) e hanno un indice di gravità elevato. Infine, sono state corrette altre cinque vulnerabilità di tipo DoS (Denial of Service) e con indice di gravità elevato.
Un’altra vulnerabilità, tracciata come CVE-2022-20496 e con indice di gravità elevato, è stata identificata nel componente Media Framework: è di tipo ID (Information Disclosure) e interessa le versioni 12, 12L e 13 di Android.
Sono diciannove, invece, le vulnerabilità identificate nel componente System. Due di queste, tracciate come CVE-2022-20411 e CVE-2022-20498, sono state classificate come critiche e sono di tipo RCE e ID, rispettivamente. Altre sedici sono state classificate con un indice di gravità elevata e solo una con un indice di gravità moderato.
Infine, nel primo pacchetto cumulativo di patch sono presenti anche quattro aggiornamenti per il Google Play System: tracciati come CVE-2021-39795, CVE-2021-39617, CVE-2022-20442 e CVE-2022-20499, interessano rispettivamente i componenti MediaProvider, Permission Controller e WiFi.
Le vulnerabilità del secondo security patch level
Nel secondo pacchetto cumulativo dell’Android Security Bulletin del mese di dicembre 2022, identificato come 2022-12-05 security patch level, c’è un aggiornamenti per una vulnerabilità identificata nel componente Kernel: tracciata come CVE-2022-23960 e con indice di gravità elevato, è di tipo ID (Information Disclosure).
Tutte le altre patch riguardano componenti di terze parti: Imagination Technologies, MediaTek, Unisoc e Qualcomm. I dettagli tecnici e la valutazione della gravità di queste vulnerabilità sono forniti direttamente dai rispettivi produttori di componenti nei corrispondenti bollettini di sicurezza.
