Android ha rilasciato un nuovo elenco di vulnerabilità di sicurezza per Android 11, 12 e 13 a novembre. Oltre a una lacuna critica, ci sono anche altre 14 lacune altamente pericolose. Il bollettino sulla sicurezza avverte di ulteriori vulnerabilità, a seconda che nel dispositivo mobile siano installati componenti Arm, MediaTek o Qualcomm.
Il bollettino sulla sicurezza di Google per novembre 2023 è lungo in modo preoccupante. Tuttavia, le vulnerabilità di sicurezza qui elencate non si applicano a tutti i dispositivi Android, anche se utilizzano Android 11, 12 o 13. Ma anche tra le vulnerabilità generalmente valide non c'è solo una lacuna critica, ma anche 14 lacune altamente pericolose.
Secondo Google la vulnerabilità critica CVE-2023-40113 è particolarmente pericolosa perché colpisce il sistema. Un aggressore non dovrebbe aver bisogno di ulteriori diritti di esecuzione per il suo attacco e dovrebbe quindi poter accedere ai dati effettivamente protetti. Le altre 14 lacune altamente pericolose potrebbero consentire un ampliamento dei diritti o la divulgazione di informazioni nel quadro.
Ulteriori vulnerabilità dovute a componenti Arm, MediaTek o Qualcomm
Il bollettino sulla sicurezza di novembre 2023 elenca ulteriori vulnerabilità se in un dispositivo Android sono installati componenti Arm, MediaTek o Qualcomm. A loro si applica il livello di patch 2023-11-05, che di solito viene intercettato tramite le patch di sicurezza dei produttori dei dispositivi. Ad Arm questo è un divario altamente pericoloso, a MediaTek è sei.
Qualcomm presenta 15 vulnerabilità, di cui 4 considerate critiche nell'area dei componenti closed source: CVE-2023-21671, CVE-2023-22388, CVE-2023-28574, CVE-2023-33045. Lo sfruttamento efficace delle vulnerabilità critiche potrebbe consentire l’escalation dei privilegi. A seconda dei privilegi associati al componente sfruttato, un utente malintenzionato potrebbe quindi installare programmi, visualizzare, modificare, cancellare dati o persino creare un nuovo account con diritti completi.
Altro su Android.com