Google ha rilasciato gli aggiornamenti di sicurezza di ottobre 2023 per Android, affrontando 54 vulnerabilità uniche, tra cui due note per essere attivamente sfruttate. Le due falle sfruttate sono CVE-2023-4863 e CVE-2023-4211, per le quali Google ha “indicazioni che potrebbero essere sotto sfruttamento limitato e mirato”.
CVE-2023-4863 è una vulnerabilità di overflow del buffer nella libreria open-source ubiquitaria libwebp, che impatta numerosi prodotti software, tra cui Chrome, Firefox, iOS, Microsoft Teams e molti altri. Questa particolare falla è stata inizialmente erroneamente assegnata a CVE separati per Apple iOS e Google Chrome, sebbene fosse effettivamente nella libreria sottostante. Un tentativo successivo di correggerlo assegnando un nuovo CVE (CVE-2023-5129) è stato respinto.
CVE-2023-4211 è una falla attivamente sfruttata che colpisce molteplici versioni dei driver GPU Arm Mali utilizzati in una vasta gamma di modelli di dispositivi Android. Questa falla è un problema di memoria use-after-free che potrebbe consentire agli aggressori di accedere o manipolare localmente dati sensibili.
In sintesi, l’aggiornamento Android di ottobre 2023 porta:
- 13 correzioni nel framework Android
- 12 correzioni nei componenti del sistema
- Due aggiornamenti su Google Play
- Cinque correzioni nei componenti Arm
- Tre correzioni riguardanti i chip MediaTek
- Una correzione riguardante i chip Unisoc
- 18 correzioni sui componenti Qualcomm (15 per closed-source)
Delle 54 correzioni riguardanti Android 11-13, cinque sono classificate come critiche e due riguardano problemi di esecuzione di codice remoto. Questo aggiornamento segue il sistema standard di rilascio di due livelli di patch: il primo (2023-10-01) si concentra sui componenti principali di Android (Framework + System), mentre il secondo (2023-10-06) riguarda il kernel e i componenti closed-source. Questo approccio consente ai produttori di dispositivi di applicare selettivamente gli aggiornamenti rilevanti per i loro modelli hardware, rendendoli disponibili più rapidamente.
I destinatari del primo livello di patch otterranno gli aggiornamenti principali di Android del mese corrente così come gli aggiornamenti di entrambi i livelli del mese precedente, in questo caso settembre 2023. Coloro che vedono il secondo livello di patch sul loro schermo di aggiornamento otterranno tutti gli aggiornamenti menzionati in questo bollettino del mese.
Le versioni Android 10 e precedenti non sono più supportate, ma a seconda dell’ambito di alcune vulnerabilità recentemente corrette, potrebbero anche essere colpite. Detto ciò, si consiglia agli utenti di sistemi Android più vecchi di aggiornare a un modello più recente o di flashare il loro dispositivo con una distribuzione Android di terze parti che offre aggiornamenti di sicurezza per i loro modelli.
