Google ha rilasciato l’Android Security Bulletin di luglio 2022, il pacchetto cumulativo di aggiornamenti che corregge 29 vulnerabilità identificate nelle varie componenti software del suo sistema operativo per dispositivi mobili.
La più grave delle vulnerabilità corrette questo mese è stata identificata nel modulo System e potrebbe portare all’esecuzione di codice remoto senza la necessità di ulteriori privilegi di esecuzione.
Come di consueto, gli aggiornamenti del nuovo Android Security Bulletin sono stati suddivisi in due livelli di patch progressivi identificati come 2022-07-01 security patch level e 2022-07-05 security patch level.
Indice degli argomenti
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch, identificato come 2022-07-01 security patch level, sono state corrette 11 vulnerabilità, raggruppate in base al componente di sistema che influenzano.
Due di queste vulnerabilità, tracciate come CVE-2022-20219 e CVE-2022-20228, entrambe di tipo Information Disclosure (ID), sono state identificate nel modulo Framework che, lo ricordiamo, funge da strato intermedio tra il sistema operativo e il software che lo utilizza.
La vulnerabilità più grave di questa sezione potrebbe portare alla divulgazione di informazioni locali senza la necessità di ulteriori privilegi di esecuzione.
Altre nove vulnerabilità sono state invece identificate nel modulo System: CVE-2022-20222, CVE-2022-20229, CVE-2021-0981, CVE-2022-20223, CVE-2022-20226, CVE-2022-20221, CVE-2022-20224, CVE-2022-20225 e CVE-2022-20230.
La vulnerabilità più grave di questa sezione potrebbe portare all’esecuzione di codice in remoto senza la necessità di ulteriori privilegi di esecuzione.
Infine, nel primo pacchetto cumulativo di patch è presente anche un aggiornamento per il Google Play System: tracciato come CVE-2022-20228, interessa i Media Codecs e i Media Framework components.
Le vulnerabilità del secondo security patch level
Con il secondo pacchetto di patch, identificato come 2022-07-05 security patch level, sono state corrette altre 17 vulnerabilità, raggruppate in base al componente di sistema che influenzano e dovrebbero essere applicate a seconda dell’hardware e del sistema operativo installati sul dispositivo.
Una vulnerabilità, CVE-2022-20220, è stata identificata nel modulo Framework ed è di tipo EoP (Elevation of Privilege). Se sfruttata, potrebbe portare all’escalation locale dei privilegi con la necessità di eseguire i privilegi dell’utente.
Un’altra vulnerabilità, tracciata come CVE-2022-20227 e di tipo ID (Information Disclosure), è stata identificata nei Kernel components: se sfruttata, potrebbe portare alla divulgazione di informazioni locali con l’aggravante che non richiede ulteriori privilegi di esecuzione.
Sei vulnerabilità sono state invece identificate nei MediaTek components: CVE-2022-20083, CVE-2022-21744, CVE-2022-21767, CVE-2022-21768, CVE-2022-21763 e CVE-2022-21764, tutte classificate con un indice di gravità elevato.
I dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da MediaTek nel rispettivo bollettino di sicurezza.
Con il secondo pacchetto cumulativo di aggiornamenti dell’Android Security Bulletin di luglio 2022 sono state corrette anche tre vulnerabilità nei chip Unisoc: CVE-2022-20216, CVE-2022-20217, CVE-2022-20236 e CVE-2022-20238, tutte classificate con un indice di gravità elevato.
Anche in questo caso, i dettagli tecnici e la valutazione della gravità della vulnerabilità sono forniti direttamente da Unisoc nel rispettivo bollettino di sicurezza.
Infine, l’Android Security Bulletin di luglio 2022 corregge due vulnerabilità nei chip Qualcomm (CVE-2022-22096 e CVE-2022-22058) e tre nelle componenti closed-source sempre degli stessi chip (CVE-2022-25657, CVE-2022-25658, CVE-2022-25659).
Come nel caso delle patch MediaTek e Unisoc, i dettagli e la valutazione della gravità della vulnerabilità sono forniti direttamente da Qualcomm nel rispettivo bollettino di sicurezza.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di luglio 2022 sono disponibili sulla pagina dedicata.
