È stato rilasciato l’Android Security Bulletin di novembre 2022: gli aggiornamenti mensili pubblicati da Google correggono un totale di 45 vulnerabilità di sicurezza che riguardano i dispositivi Android con le versioni 10, 11, 12 e 13 del sistema operativo.
I primi dispositivi a ricevere gli aggiornamenti saranno quelli della serie Pixel di Google, ma anche Samsung sarebbe pronta a rilasciare le patch per alcuni dei suoi dispositivi di ultima generazione.
La vulnerabilità più grave corretta con l’aggiornamento di sicurezza del nuovo Android Security Bulletin di novembre 2022 è stata individuata nel modulo Framework e potrebbe portare a un’escalation di privilegi in locale senza la necessità di ulteriori privilegi di esecuzione.
Come di consueto, gli aggiornamenti del bollettino di sicurezza Android sono stati suddivisi in due livelli di patch progressivi identificati come 2022-11-01 security patch level e 2022-11-05 security patch level.
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di novembre 2022 sono disponibili sulla pagina dedicata.
Indice degli argomenti
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch contenute nell’Android Security Bulletin di ottobre 2022, identificato come 2022-11-01 security patch level, sono state corrette 15 vulnerabilità, raggruppate in base al componente di sistema che influenzano. A queste si aggiungono altre due patch per il Google Play System, per un totale di 17 problemi risolti con il primo pacchetto cumulativo di aggiornamenti.
Le prima sette vulnerabilità corrette con l’Android Security Bulletin di novembre 2022 sono state identificate nel modulo Framework: la più grave di questa sezione potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione.
Le vulnerabilità sono tutte di tipo EoP (Elevation of Privilege) e classificate con un indice di gravità elevato: CVE-2022-2209, CVE-2022-20441, CVE-2022-20446, CVE-2022-20448, CVE-2022-20450, CVE-2022-20452, CVE-2022-20457.
Un’altra vulnerabilità è stata identificata nei Multiple components e tracciata come CVE-2022-20426: è di tipo DoS (Denial of Service) e ha un indice di gravità elevato. Se sfruttata, potrebbe portare a una negazione locale del servizio senza la necessità di ulteriori privilegi di esecuzione.
Altre nove vulnerabilità sono state identificate e corrette nel modulo System. La più grave potrebbe portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione.
Le vulnerabilità di questa sezione, tutte classificate con un indice di gravità elevato, sono cinque di tipo EoP (Elevation of Privilege), due di tipo ID (Information Disclosure) e due di tipo DoS (Denial of Service).
Infine, nel primo pacchetto cumulativo di patch sono presenti anche due aggiornamenti per il Google Play System: tracciati come CVE-2022-2209 e CVE-2022-20463, interessano i Media Framework components e il modulo WiFi.
Le vulnerabilità del secondo security patch level
Nel secondo pacchetto cumulativo dell’Android Security Bulletin del mese di novembre 2022, identificato come 2022-11-05 security patch level, non ci sono aggiornamenti per componenti interni al sistema operativo di Google.
Tutte le patch presenti riguardano componenti di terze parti: Imagination Technologies, MediaTek, Unisoc e Qualcomm. I dettagli tecnici e la valutazione della gravità di queste vulnerabilità sono forniti direttamente dai rispettivi produttori di componenti nei corrispondenti bollettini di sicurezza.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Al momento non si hanno notizie di eventuali sfruttamenti delle nuove vulnerabilità in attacchi reali. Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
