Condividi questo articolo
Sono 34 le vulnerabilità corrette dall’Android Security Bulletin relativo al mese di settembre 2023: tra queste, anche una zero-day che risulta essere già attivamente sfruttata in attacchi. Ecco tutti i dettagli e i consigli per mettere in sicurezza i propri dispositivi
Pubblicato il 07 Set 2023
Editor Cybersecurity360.it
Google ha rilasciato l’Android Security Bulletin di settembre 2023 contenente gli aggiornamenti di sicurezza per 34 vulnerabilità.
Tra queste, anche una zero-day tracciata come CVE-2023-35674 che risulta essere già attivamente sfruttata in rete. Identificata nella componente Framework del sistema operativo Android, potrebbe consentire a un attaccante di elevare i propri privilegi e prendere il controllo del dispositivo esposto.
L’exploit delle vulnerabilità potrebbe consentire di condurre attacchi di tipo:
- Denial of Service
- Information Disclosure
- Privilege Escalation
- Remote Code Execution
Come di consueto, l’Android Security Bulletin di settembre 2023 è stato suddiviso in due pacchetti cumulativi di aggiornamenti: il primo, catalogato come 2023-09-01 security patch level, riguarda le principali componenti del sistema operativo Android 11, 12, 12L, 13 con patch di sicurezza precedenti ad agosto 2023.
Il secondo, catalogato come 2023-09-05 security patch level, affronta e risolve i problemi di sicurezza identificati nei componenti hardware e dei fornitori closed-source.
Secondo il bollettino di sicurezza pubblicato dal CSIRT Italia, la stima d’impatto delle vulnerabilità è grave/rosso (77,43/100).
Ulteriori dettagli sugli aggiornamenti dell’Android Security Bulletin di settembre 2023 sono disponibili sulla pagina dedicata.
Indice degli argomenti
- Le vulnerabilità del primo security patch level
- Le vulnerabilità del secondo security patch level
- Ecco come aggiornare i dispositivi Android
Le vulnerabilità del primo security patch level
Con il primo pacchetto di patch contenute nell’Android Security Bulletin di settembre 2023, identificato come 2023-09-01 security patch level, sono state corrette 20 vulnerabilità, raggruppate in base al componente di sistema che influenzano.
WHITE PAPER
Digital Services Act: una panoramica sulle regole che portano i valori europei nel mondo digitale
Privacy/Compliance
LegalTech
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)
Fine modulo
A queste si aggiungono altre due patch per il Google Play System, per un totale di 22 problemi di sicurezza risolti.
Come dicevamo, la vulnerabilità più grave del primo pacchetto cumulativo di aggiornamenti è la CVE-2023-35674. Identificata nel componente Framework, è di tipo EoP (Elevation of Privilege).
Il suo sfruttamento può portare a un’escalation locale dei privilegi senza la necessità di ulteriori privilegi di esecuzione e senza richiedere alcuna interazione da parte dell’utente.
Come si legge nel relativo bollettino di sicurezza, ci sono indicazioni che la CVE-2023-35674 possa essere sfruttata in modo limitato e mirato.
Le altre vulnerabilità critiche
Con il primo security patch level di settembre 2023 sono state corrette anche altre tre vulnerabilità critiche nel componente System di Android.
Tracciate come CVE-2023-35658, CVE-2023-35673 e CVE-2023-35681, possono portare all’esecuzione di codice da remoto (RCE) dopo uno sfruttamento riuscito senza richiedere ulteriori privilegi di esecuzione o l’interazione dell’utente.
Gli aggressori possono sfruttare queste vulnerabilità in attacchi di tipo RCE quando le mitigazioni della piattaforma e dei servizi sono disattivate a scopo di sviluppo o aggirate con successo.
La stessa Google invita quindi gli utenti Android ad aggiornare i propri dispositivi alle ultime versioni del sistema operativo in quanto i miglioramenti introdotti consentono di mitigare lo sfruttamento di questo e di altri problemi di sicurezza.
Le vulnerabilità del secondo security patch level
Sono invece dodici le vulnerabilità corrette in occasione del rilascio dell’Android Security Bulletin di settembre 2023 con il secondo pacchetto di patch, identificato come 2023-09-05 security patch level e relativo solo a problemi di sicurezza identificati nei componenti Qualcomm.
Tra questi, anche una vulnerabilità critica nei componenti closed source di Qualcomm: tracciata come CVE-2023-28581, è relativa a un problema di corruzione della memoria del firmware WLAN che potrebbe consentire agli aggressori remoti di eseguire codice arbitrario, leggere informazioni sensibili o provocare crash di sistema in attacchi di bassa complessità che non richiedono privilegi o interazione con l’utente.
Tutti i dettagli tecnici di questa e delle altre vulnerabilità del secondo security patch level di Android per il mese di settembre 2023 sono forniti direttamente da Qualcomm nei corrispondenti bollettini di sicurezza.
Ecco come aggiornare i dispositivi Android
Google ha già rilasciato tutte le patch di sicurezza Android ai propri partner con un mese di anticipo rispetto alla pubblicazione del bollettino di sicurezza, pubblicandole nel repository Android Open Source Project (AOSP).
Ciò non toglie che tutti gli aggiornamenti dovrebbero essere installati il prima possibile: alcuni o tutti, a seconda del dispositivo, possono essere applicati automaticamente tramite i servizi Google Play; altri, invece, potrebbero essere inviati all’utente sotto forma di un aggiornamento da parte dell’operatore o del produttore del dispositivo, e alcuni potrebbero non essere necessari.
I dispositivi Android più economici e meno aggiornati potrebbero non vedere mai gli aggiornamenti.
In tutti i casi, soprattutto quando i dispositivi vengono utilizzati in ambito aziendale e produttivo, è opportuno installare una buona soluzione di sicurezza (ancora meglio se integrata nell’eventuale client di Mobile Device Management per il controllo remoto e centralizzato dei dispositivi usati per lo smart working) in grado di garantire un elevato livello di protezione dei dati e delle informazioni riservate archiviate in memoria.
Per aggiornare un dispositivo Android, è sufficiente andare su Impostazioni/Sistema/Aggiornamento sistema e selezionare Controlla aggiornamenti. In alternativa, si può accedere al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezionare Aggiornamento di sicurezza.
Da segnalare che, se il dispositivo utilizza ancora Android 10 o versioni precedenti, vuol dire che ha raggiunto la fine del ciclo di vita (EoL) da settembre 2022 (per la versione 10) e non riceverà le correzioni per i difetti di cui sopra.
Tuttavia, alcuni aggiornamenti importanti potrebbero comunque essere distribuiti tramite gli aggiornamenti di sistema di Google Play: per scaricarli e installarli, accediamo al menu Impostazioni/Sicurezza e privacy/Aggiornamenti e selezioniamo la voce Aggiornamento di sistema di Google Play.
Per quanto tempo si ricevono gli aggiornamenti Android
Le politiche di aggiornamento di Google prevedono che i dispositivi ricevano aggiornamenti per la versione di Android installata per almeno tre anni dalla data di introduzione sul Google Store, mentre gli aggiornamenti di sicurezza saranno garantiti per tre anni dalla data di introduzione nella versione statunitense del Google Store.
Per quanto riguarda, invece, la velocità di rilascio, se i dispositivi sono stati acquistati direttamente sul Google Store allora gli aggiornamenti arriveranno entro un paio di settimane, mentre per i modelli acquistati da rivenditori di terze parti potrebbe volerci più tempo, come indicato sul sito di supporto di Google.
WHITEPAPER
Guida sul Software no-code: ecco perché è lo strumento su cui puntare per far evolvere l’azienda!
Inizio modulo
Leggi l'informativa sulla privacy
- Acconsento alla comunicazione dei dati a terzi appartenenti ai seguenti settori merceologici: servizi (tra cui ICT/digitali), manifatturiero, commercio, pubblica amministrazione. I dati verranno trattati per finalità di marketing tramite modalità automatizzate e tradizionali di contatto (il tutto come specificato nell’informativa)
Fine modulo
@RIPRODUZIONE RISERVATA
Valuta la qualità di questo articolo
Anno 2024, che cyber sarà: le tecnologie e gli sviluppi normativi
- Inizia tra
12
19
44
7
Personaggi
Argomenti
Canali
Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
News, attualità e analisi Cyber sicurezza e privacy
Speciale PNRR
filter_listFiltra per topic
chevron_left
chevron_right
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
Competenze digitali, ecco il nuovo piano operativo nazionale
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Accordi per l’innovazione, per le imprese altri 250 milioni
PNRR, opportunità e sfide per le smart city
Brevetti, il Mise mette sul piatto 8,5 milioni
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
PNRR, si sbloccano i fondi per l’agrisolare
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
PNRR e PA digitale: non dimentichiamo la dematerializzazione
DIGITAL HEALTHCARE TRANSFORMATION
La trasformazione digitale degli ospedali
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Comuni e digitale, come usare il PNRR senza sbagliare
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Competenze digitali, partono le Reti di facilitazione
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
PNRR 2, è il turno della space economy
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Competenze digitali e servizi automatizzati pilastri del piano Inps
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management in Italia: verso una transizione “smart” e “circular”
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Smart City: quale contributo alla transizione ecologica
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Imprenditoria femminile: come attingere ai fondi per le donne che fanno impresa
PNRR e Fascicolo Sanitario Elettronico: investimenti per oltre 600 milioni
Competenze digitali, ecco il nuovo piano operativo nazionale
Da Istat e RGS gli indicatori per misurare la sostenibilità nel PNRR
PNRR – Piano nazionale di Ripresa e Resilienza: cos’è e novità
Pnrr, ok della Ue alla seconda rata da 21 miliardi: focus su 5G e banda ultralarga
Energia pulita: Banca Sella finanzia i progetti green incentivati dal PNRR
Competenze digitali e InPA cruciali per raggiungere gli obiettivi del Pnrr
PA digitale 2026, come gestire i fondi PNRR in 5 fasi: ecco la proposta
Value-based healthcare: le esperienze in Italia e il ruolo del PNRR
Accordi per l’innovazione, per le imprese altri 250 milioni
PNRR, opportunità e sfide per le smart city
Brevetti, il Mise mette sul piatto 8,5 milioni
PNRR e opere pubbliche, la grande sfida per i Comuni e perché bisogna pensare digitale
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
PNRR, si sbloccano i fondi per l’agrisolare
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
PNRR e PA digitale: non dimentichiamo la dematerializzazione
DIGITAL HEALTHCARE TRANSFORMATION
La trasformazione digitale degli ospedali
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Comuni e digitale, come usare il PNRR senza sbagliare
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Competenze digitali, partono le Reti di facilitazione
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
PNRR 2, è il turno della space economy
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Competenze digitali e servizi automatizzati pilastri del piano Inps
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management in Italia: verso una transizione “smart” e “circular”
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Smart City: quale contributo alla transizione ecologica
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Aggiornamenti Android giugno 2023: corretta una zero day nella GPU Mali già sfruttata in rete
News, attualità e analisi Cyber sicurezza e privacy
Aggiornamenti Android luglio 2023, corrette tre vulnerabilità zero-day già attivamente sfruttate
News, attualità e analisi Cyber sicurezza e privacy
Aggiornamenti Android agosto 2023, corrette 48 vulnerabilità: mettiamo in sicurezza i device
Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Aggiornamenti Android maggio 2023, corretta una zero-day sfruttata in attacchi mirati: i dettagli
Future of work: l’intelligenza artificiale per la gestione delle persone e lo sviluppo professionale
- Il webcast è disponibileGUARDA
Prossimo
Aggiornamenti Android giugno 2023: corretta una zero day nella GPU Mali già sfruttata in rete
Articoli correlati
- Aggiornamenti Android settembre 2023, corretta una zero-day già sfruttata in attacchi: i dettagli
- Aggiornamenti Android giugno 2023: corretta una zero day nella GPU Mali già sfruttata in rete
- Aggiornamenti Android luglio 2023, corrette tre vulnerabilità zero-day già attivamente sfruttate
- Aggiornamenti Android agosto 2023, corrette 48 vulnerabilità: mettiamo in sicurezza i device
- Aggiornamenti Android maggio 2023, corretta una zero-day sfruttata in attacchi mirati: i dettagli
Articolo 1 di 5
NetworkDigital360 è il più grande network in Italia di testate e portali B2B dedicati ai temi della Trasformazione Digitale e dell’Innovazione Imprenditoriale. Ha la missione di diffondere la cultura digitale e imprenditoriale nelle imprese e pubbliche amministrazioni italiane.
Indirizzo
Via Copernico, 38
Milano - Italia
CAP 20125
Contatti