Android

Google corregge 39 bug Android, 15 dei quali critici

Google ha rilasciato uno dei più grandi aggiornamenti di sicurezza mensili di Android, che risolve un totale di 39 vulnerabilità, 15 delle quali considerate di livello critico e quattro che avrebbero potuto portare a un dispositivo completamente compromesso. Le patch, che sono incluse nelle nuove immagini del firmware rilasciate lunedi per i dispositivi Nexus, saranno pubblicate sulla pagina del progetto Open Source Android nel corso delle prossime 24 ore.

Esse comprendono una correzione per una vulnerabilità di cui Google ha messo in guardia circa due settimane fa, e che è già stata sfruttata da un’applicazione per mettere il root del dispositivo a disposizione del pubblico. Segnalato come CVE-2015-1805, il bug permette di ottenere i privilegi massimi ed è stato originariamente risolto nel kernel di Linux nel mese di aprile 2014, ma non è diventato chiaro fino a febbraio di quest’anno che avrebbe colpito anche Android.

google-risolve-bug-android-informatblog

Le componenti di elaborazione multimediale di Android continuano ad essere una fonte di vulnerabilità gravi. L’aggiornamento di sicurezza di questo mese include patch per nove bug critici che eseguono codice remoto nei codec media Android, e nelle librerie MediaServer e Stagefright. Inoltre, anche una vulnerabilità che concedeva privilegi massimi e quattro problemi che causavano divulgazione di informazioni private, tutti classificati come ad alto impatto, sono stati risolti in MediaServer.

Altri componenti in cui sono stati trovati difetti critici e successivamente risolti includono il kernel di Android, il client Dynamic Host Configuration Protocol (DHCP), il modulo Qualcomm Performance e il modulo Qualcomm RF.

Queste vulnerabilità ad alto impatto possono dare ad app di terze parti più privilegi rispetto a quelli che dovrebbero normalmente avere; esse sono state sistemate nella IMemory Native Interface, nel componente Telecom, nel download manager, nella procedura di recupero, nel componente Bluetooth, nel driver tattile Texas Instruments, nel kernel del driver video, nel componente di gestione dell’alimentazione Qualcomm, in system_server e in MediaServer.

A parte il bug CVE-2015-1805 che permetteva di ottenere privilegi di root tramite una app, non ci sono stati altri rapporti di sfruttamento delle altre vulnerabilità corrette in questo aggiornamento, ha detto Google in un comunicato di sicurezza.

Il team di sicurezza di Android controlla attivamente l’abuso di tali vulnerabilità tramite le caratteristiche di sicurezza di Android SafetyNet e Verify Apps. Per gran parte di esse, lo sfruttamento viene anche reso più difficile dai miglioramenti di sicurezza messi a punto nelle versioni più recenti di Android.

Se un produttore di dispositivi mette a disposizione un aggiornamento ad Android 6, installatelo il più presto possibile. In caso contrario, le versioni di Android precedenti al 2 aprile devono essere protette contro tutte le vulnerabilità che sono state corrette in questo aggiornamento mensile. (Fonte)

Ti è piaciuta questa notizia? Condividila sui tuoi social preferiti!
Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Le guide più interessanti