Google ha rilasciato l’ultimo bollettino di sicurezza con i nuovi aggiornamenti Android dell’anno, contenente tutti i dettagli sulle vulnerabilità che interessano i dispositivi mobile e che vengono corrette mediante le patch con versioni datate 2018-12-01 e 2018-12-05.
In particolare, il pacchetto di aggiornamenti è stato suddiviso in due livelli di patch progressive che permettono di risolvere un totale di 53 vulnerabilità in diversi componenti del sistema operativo mobile, di cui 11 critiche e altre 42 di gravità elevata. Le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice da remoto con privilegi elevati sul dispositivo. Ecco perché è importante procedere quanto prima con l’aggiornamento dei dispositivi Android.
Indice degli argomenti
Come aggiornare il proprio dispositivo Android
Al momento non si ha notizia che queste vulnerabilità siano attivamente sfruttate in attacchi reali.
Tutte le patch di sicurezza Android sono già state rese disponibili da Google ai partner almeno un mese prima della pubblicazione del bollettino di sicurezza. Gli utenti dei dispositivi Android devono quindi attendere il rilascio degli aggiornamenti da parte dei rispettivi produttori o operatori di telefonia mobile.
Al momento, solo Essential Phone e Samsung hanno già rilasciato i relativi pacchetti di aggiornamento.
Nel caso di Essential Phone, la nuova build del sistema operativo “pesa” circa 58 MB ed è rilasciata in modalità OTA (Over-the-air).
Per quanto riguarda i dispositivi Samsung, invece, in occasione dell’ultimo aggiornamento Android sono state corrette 40 vulnerabilità riscontrate nella personalizzazione del sistema operativo. Anche in questo caso, gli aggiornamenti verranno rilasciati in modalità OTA in maniera graduale nel corso del mese.
Se invece possediamo uno smartphone della serie Pixel o Nexus, possiamo seguire le istruzioni rilasciate da Google a questo indirizzo.
Aggiornamenti Android: i dettagli del primo security patch level
Con il primo pacchetto di patch, identificato come 2018-12-01 security patch level, vengono corrette le seguenti due vulnerabilità nel Framework (cioè nel modulo che funge da strato intermedio tra il sistema operativo e il software che lo utilizza):
- CVE-2018-9547 (Elevata, per le versioni 8.1 e 9 di Android)
- CVE-2018-9548 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
Entrambe queste vulnerabilità potrebbero consentire ad un’applicazione dannosa installata nel dispositivo di eseguire codice arbitrario nel contesto di un processo privilegiato.
Altre 7 vulnerabilità critiche interessano, invece, il Media Framework e potrebbero consentire ad un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:
- CVE-2018-9549 (per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
- CVE-2018-9550 (per la versione 9 di Android)
- CVE-2018-9551 (per la versione 9 di Android)
- CVE-2018-9552 (per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
- CVE-2018-9553 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
- CVE-2018-9538 (Elevata, per le versioni 8.1 e 9 di Android)
- CVE-2018-9554 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1 di Android)
Infine, questo primo livello di patch risolve altre 8 vulnerabilità critiche nel modulo System che potrebbero consentire ad un aggressore remoto che utilizza una trasmissione dati appositamente creata di eseguire codice arbitrario nel contesto di un processo privilegiato:
- CVE-2018-9555 (Critica, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
- CVE-2018-9556 (Critica, per la versione 9 di Android)
- CVE-2018-9557 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2 di Android)
- CVE-2018-9558 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
- CVE-2018-9559 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
- CVE-2018-9560 (Elevata, per la versione 9 di Android)
- CVE-2018-9562 (Elevata, per la versione 9 di Android)
- CVE-2018-9566 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
Aggiornamenti Android: i dettagli del secondo security patch level
Ecco invece i dettagli delle vulnerabilità corrette con il secondo pacchetto di patch, identificato come 2018-12-05 security patch level.
La prima vulnerabilità corretta riguarda il modulo System e potrebbe portare alla divulgazione di informazioni personali senza la necessità di ulteriori privilegi di esecuzione:
- CVE-2018-9565 (Elevata, interessa il componente OMA-DM, Open Mobile Alliance Device Management Protocol)
Un’altra vulnerabilità del componenti HTC potrebbe consentire a un aggressore locale di aggirare i requisiti di interazione dell’utente per ottenere l’accesso a ulteriori autorizzazioni:
- CVE-2018-9567 (Elevata, interessa il Bootloader di Android)
Vengono corretta anche due vulnerabilità nel componente Kernel, la più grave delle quali potrebbe consentire a un aggressore locale di eseguire codice arbitrario nel contesto di un processo privilegiato:
- CVE-2018-10840 (Elevata, interessa il file system ext4)
- CVE-2018-9568 (Elevata, interessa il modulo network)
Corrette anche tre vulnerabilità nel modulo Qualcomm components:
- CVE-2018-11960 (Elevata, interessa il modulo HWEngines)
- CVE-2018-11961 (Elevata, interessa il modulo GPS_AP_LINUX)
- CVE-2018-11963 (Elevata, interessa il modulo Automotive Multimedia)
Infine, vengono corrette altre 29 vulnerabilità nel modulo Qualcomm closed-source components e che interessano tutte componenti closed-source del sistema operativo:
- CVE-2017-8248
- CVE-2017-11004
- CVE-2017-18141
- CVE-2018-5913
- CVE-2018-11279
- CVE-2017-18319
- CVE-2017-18321
- CVE-2017-18322
- CVE-2017-18323
- CVE-2017-18324
- CVE-2017-18327
- CVE-2017-18331
- CVE-2017-18332
- CVE-2017-18160
- CVE-2017-18326
- CVE-2017-8276
- CVE-2017-18328
- CVE-2017-18329
- CVE-2017-18330
- CVE-2018-3595
- CVE-2017-18320
- CVE-2018-11999
- CVE-2018-5867
- CVE-2018-5868
- CVE-2018-5869
- CVE-2017-5754
- CVE-2018-5915
- CVE-2018-11267
- CVE-2018-11922
