Aggiornamenti di sicurezza Android marzo 2019, corrette 41 vulnerabilità: installiamo le patch

Google ha rilasciato il nuovo Android Security Bulletin, gli aggiornamenti di sicurezza Android per il mese di marzo con i dettagli di 41 vulnerabilità individuate nel suo sistema operativo mobile. Di queste, 7 sono state classificate come critiche, 33 hanno un livello di gravità elevato e solo una ha un livello di gravità moderato.

Le più gravi di queste vulnerabilità sono state individuate nei moduli Media Framework e System e potrebbero consentire a un attaccante remoto di eseguire codice melevolo nel contesto di un processo con privilegi elevati.

Come di consuetudine, l’intero pacchetto di aggiornamenti è suddiviso in due livelli di patch progressivi, identificati rispettivamente come 2019-03-01 security patch level e 2019-03-05 security patch level.

Come aggiornare il proprio dispositivo Android

Al momento non si hanno notizie circa uno sfruttamento di queste vulnerabilità in attacchi reali, ma chiaramente è opportuno procedere il prima possibile all’aggiornamento del proprio dispositivo mobile.

Tutte le patch di sicurezza Android sono già state rese disponibili da Google ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza e sono state rilasciate nel repository Android Open Source Project (AOSP).

Gli utenti dei dispositivi Android devono quindi attendere il rilascio degli aggiornamenti da parte dei rispettivi produttori o operatori di telefonia mobile. Come al solito, però, non tutti i produttori rilasceranno i pacchetti di update, così come i device più vecchi potrebbero non ricevere mai queste patch: in questi casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.

Aggiornamenti Android: i dettagli del primo security patch level

Con il primo pacchetto di patch, identificato come 2019-03-01 security patch level, vengono corrette le seguenti 27 vulnerabilità.

Le prime cinque interessano il modulo Framework (che funge da strato intermedio tra il sistema operativo e il software che lo utilizza) e la più grave potrebbe consentire ad un’applicazione dannosa in esecuzione sul dispositivo di eseguire codice arbitrario nel contesto di un processo privilegiato:

• CVE-2018-20346 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-1985 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0 di Android)
• CVE-2019-2003 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2004 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2005 (Moderata, per le versioni 8.0, 8.1, 9 di Android)

Altre cinque vulnerabilità interessano invece il modulo Media Framwork e la più grave potrebbe consentire a un attaccante remoto che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

• CVE-2019-1989 (Critica, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-1990 (Critica, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2006 (Elevata, per le versioni 9 di Android)
• CVE-2019-2007 (Elevata, per le versioni 8.1, 9 di Android)
• CVE-2019-2008 (Elevata, per le versioni 8.0, 8.1, 9 di Android)

Infine, altre 17 vulnerabilità interessano il modulo System e la più grave potrebbe consentire a un attaccante remoto che utilizza una modalità di trasmissione dati appositamente creata di eseguire codice arbitrario nel contesto di un processo privilegiato:

• CVE-2019-2009 (Critica, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2010 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2011 (Elevata, per le versioni 8.0, 8.1, 9 di Android)
• CVE-2019-2012 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2013 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2014 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2015 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2016 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2017 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2018 (Elevata, per le versioni 8.1, 9 di Android)
• CVE-2018-9561 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2018-9563 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2018-9564 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2019 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2020 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2021 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)
• CVE-2019-2022 (Elevata, per le versioni 7.0, 7.1.1, 7.1.2, 8.0, 8.1, 9 di Android)

Aggiornamenti Android: i dettagli del secondo security patch level

Ecco invece i dettagli per ciascuna delle vulnerabilità di sicurezza che si applicano al secondo pacchetto di aggiornamenti, identificato come 2019-02-05 security patch level.

Una vulnerabilità è stata individuata nel modulo System e potrebbe consentire ad un’applicazione dannosa in esecuzione sul dispositivo di eseguire codice arbitrario nel contesto di un processo privilegiato:

• CVE-2019-2023 (Elevata, per le versioni 8.0, 8.1, 9 di Android)

Tre riguardano il modulo Kernel e la più grave potrebbe consentire a un aggressore locale che utilizza un file appositamente creato di eseguire codice arbitrario nel contesto di un processo privilegiato:

• CVE-2018-10883 (Elevata, interessa il componente ext4 filesystem)
• CVE-2019-2024 (Elevata, interessa il componente em28xx driver)
• CVE-2019-2025 (Elevata, interessa il componente Binder driver)

Altre quattro vulnerabilità interessano invece il modulo Qualcomm Components e sono descritte più in dettaglio nel bollettino di sicurezza Qualcomm APSS. I partner Android possono verificare l’applicabilità delle patch ai loro dispositivi attraverso il programma CreatePoint:

• CVE-2017-8252 (Critica, interessa il componente EcoSystem)
• CVE-2018-11817 (Critica, interessa il componente DSP_Services)
• CVE-2018-13899 (Elevata, interessa il componente Video)
• CVE-2018-13917 (Elevata, interessa il componente WIN NSS Host)

Altre sei, infine, interessano il modulo Qualcomm closed-source components e interessano tutte componenti closed-source del sistema operativo:

• CVE-2017-8252 (Critica, interessa un componente closed-source)
• CVE-2018-11958 (Critica, interessa un componente closed-source)
• CVE-2018-11966 (Elevata, interessa un componente closed-source)
• CVE-2018-11970 (Elevata, interessa un componente closed-source)
• CVE-2018-11971 (Elevata, interessa un componente closed-source)
• CVE-2018-13918 (Elevata, interessa un componente closed-source)