Lunedì Google ha dichiarato di aver scoperto una vulnerabilità critica nella sicurezza del suo sistema operativo Android, che potenzialmente consente a un utente malintenzionato di eseguire in remoto codice su un dispositivo "senza la necessità di privilegi aggiuntivi per eseguirlo". Al problema è stato assegnato l'identificatore CVE-2023-40088. Nel prossimo futuro, l'azienda rilascerà un aggiornamento di sicurezza che dovrebbe risolvere questo problema.
Google non rilascia dettagli sulla vulnerabilità identificata come CVE-2023-40088. È noto che appartiene alla categoria Sistema e sembra che possa essere utilizzato per scaricare e installare da remoto su un dispositivo tramite Wi-Fi, Bluetooth o NFC software dannoso all'insaputa del proprietario del gadget.
Sebbene questa vulnerabilità possa essere sfruttata da remoto, vale la pena notare che l'aggressore deve essere relativamente vicino al dispositivo della potenziale vittima.
Google non ha spiegato come sia stata scoperta la vulnerabilità o se vi siano casi di sfruttamento da parte di aggressori. L'azienda rilascerà nei prossimi giorni le patch per CVE-2023-40088 per Android 11, 12, 12L, 13 e l'ultimo Android 14 tramite project Android Open Source. I produttori di dispositivi potranno quindi distribuire la patch attraverso i propri canali di aggiornamento. L'aggiornamento verrà distribuito ai produttori di dispositivi nei prossimi giorni. Successivamente, ogni OEM di dispositivi Android dovrà inviare una patch ai propri utenti. Telefoni Google Pixel potrebbe essere il primo a ricevere la correzione, ma le tempistiche possono variare per altri marchi.
Nelle note al bollettino sulla sicurezza di dicembre, Google ha inoltre affermato di aver scoperto diverse altre vulnerabilità critiche nel sistema operativo mobile Android che portano all'elevazione dei privilegi e alla divulgazione di informazioni che interessano i componenti Android Quadro e sistema. Data la gravità dei problemi, si consiglia ai possessori di dispositivi Android di tenere d'occhio gli aggiornamenti di sicurezza di dicembre e di installarli non appena diventano disponibili.
Leggi anche: