3 hours ago
21
Google sta segnalando la presenza di un exploit zero-day in circolazione su Android. La correzione è disponibile con le patch di sicurezza di febbraio, ma come sappiamo le tempistiche di rilascio (in effetti il rilascio vero e proprio, soprattutto se si parla di prodotti un po’ più datati) dipendono dai produttori. La vulnerabilità è etichettata come CVE-2024-53104.
Google dice che gli attacchi sono limitati, ma ne ribadisce la pericolosità. Se qualcuno riesce a prendere il controllo del dispositivo da colpire può causare instabilità nella memoria, alterare i frame video renderizzati a schermo e altro ancora. In ultimo, l’attacco arriva fino al kernel Linux, e può portare a un’escalation dei privilegi locali e, in ultimo, esecuzione di software non autorizzato.
Android 05 Feb
Google osserva che la falla interessa ogni singolo dispositivo Android presente sul mercato. Il che implica che molti di questi probabilmente sono già al di fuori della finestra di supporto software prevista dal produttore e che quindi rimarranno sempre vulnerabili. Purtroppo, ma comprensibilmente, Google non entra troppo nel dettaglio: come sempre, bisogna bilanciare la necessità di informare il grande pubblico e quella di mantenere all’oscuro potenziali hacker quanto più possibile.
Il CIST ha qualche informazione in più: la vulnerabilità sembra annidarsi in uvcvideo, il driver generico per la classe di dispositivi USB video. Un certo tipo di comando o richiesta può indurre a scritture out-of-bounds. Non è chiaro se è possibile proteggersi e quale possa essere il vettore di attacco.
English (US)