Dic 07, 2023 In evidenza, News, RSS, Vulnerabilità

Google ha rilasciato importanti aggiornamenti di sicurezza per Android che risolvono 94 vulnerabilità, di cui 4 considerate di livello critico.

Tra queste c’è CVE-2023-40088, un pericoloso bug che consente a un attaccante remoto di eseguire codice malevolo sul dispositivo senza bisogno dell’interazione utente.

La vulnerabilità colpisce la funzione callback_thread_event of com_android_bluetooth_btservice_AdapterService.cpp usata per la comunicazioni Bluetooth. Pur potendo agire senza prendere il controllo fisico del dispositivo, l’attaccante deve comunque trovarsi in prossimità della vittima (circa 10 metri, considerando il range medio del Bluetooth).

Al momento Google non ha specificato se il bug sia già stato sfruttato, ma è indispensabile aggiornare quanto prima il sistema operativo per ridurre il rischio di attacchi.

Simile a questa c’è la CVE-2023-45866, una vulnerabilità che sfrutta la connessione Bluetooth per connettersi al dispositivo della vittima e installare malware. 

Tra le altre vulnerabilità Android di livello critico c’è la CVE-2023-40077, un bug che colpisce la funzione MetaDataBase.cpp e consente a un attaccante di effettuare escalation dei privilegi; anche in questo caso non è necessaria l’interazione utente.

L’ultima, la CVE-2023-40076, consente a un utente di accedere alle credenziali di un altro account, bypassando i permessi; ciò può portare a un’escalation dei privilegi, di nuovo senza interazione utente.

Google ha rilasciato gli aggiornamenti per le versioni 11, 12, 12L, 13 e 14 di Android e consiglia agli utenti di aggiornare i dispositivi il prima possibile.

• Android, Bluetooth, escalation dei privilegi, Google, vulnerabilità, zero-click