Google dettaglia le patch di sicurezza Android di dicembre 2023

Google ha pubblicato l'Android Security Bullettin di dicembre 2023, ovvero il bollettino sulla sicurezza in cui vengono dettagliati i correttivi applicati per risolvere le vulnerabilità dei dispositivi Android. Le aziende partner di Google vengono informate dei problemi almeno un mese prima della pubblicazione, le patch del codice sorgente relative a questi problemi vengono rilasciate nel repository Android Open Source Project (AOSP) nelle successive 48 ore.

Il più grave dei problemi risolti con le patch di sicurezza Android di dicembre è una vulnerabilità critica del sistema che potrebbe portare all'esecuzione di codice remoto (CVE-2023-40088) senza che siano necessari privilegi per l'esecuzione, per lo sfruttamento non sono necessarie azioni da parte dell'utente. È stata contrassegnata come critica a causa degli effetti che il suo sfruttamento potrebbe avere su un dispositivo, presupponendo che le Android and Google service mitigations siano disattivate per finalità di sviluppo o che vengano aggirate con successo. Non sappiamo se la vulnerabilità sia mai stata sfruttata.

Le vulnerabilità critiche di sistema risolte dalle patch Android dell'1 e del 5 dicembre hanno i seguenti codici identificativi CVE:

• CVE-2023-40088 (RCE), aggiornati sistemi AOSP Android 11, 12, 12L, 13 e 14
• CVE-2023-45866 (EoP), aggiornati sistemi AOSP Android 11, 12, 12L, 13 e 14.

In totale, sempre per quel che riguarda il sistema, tenendo conto delle patch dell'1 e del 5 dicembre 2023, vengono risolte:

• 2 vulnerabilità contrassegnate come "critiche" (le due sopra)
• 15 vulnerabilità ad alto rischio.

Il consiglio è sempre quello di mantenere aggiornato il proprio smartphone all'ultima versione disponibile. Al di là delle novità funzionali che il produttore dovesse introdurre per l'interfaccia utente, lo sprone principale per aggiornare dovrebbe essere quello di mantenere lo smartphone il più sicuro possibile.