Aggiornamento Android gennaio 2020: upgrade sicurezza in arrivo

Android ha rilasciato già nei primi giorni del nuovo anno un nuovo aggiornamento per la risoluzione di diverse vulnerabilità che potevano danneggiare il sistema.

LEGGI LE NOTIZIE DEL TERMOMETRO QUOTIDIANO

Il nuovo aggiornamento Android

Gli esperti del CERT (Computer Emergency Response Team) hanno dichiarato che il nuovo aggiornamento Android “Risolve un totale di 41 vulnerabilità in diversi componenti di sistema, di cui due critiche e altre 38 di gravità elevata“. Ha poi proseguito “Le più gravi di queste vulnerabilità potrebbero consentire l’esecuzione di codice da remoto con privilegi elevati sul dispositivo o causare condizioni di denial of service al momento non si ha notizia che queste vulnerabilità siano attivamente sfruttate in attacchi reali“.

Google ha già rilasciato l’update per Android con un mese di anticipo pubblicandolo nel repository Android Open Source Project (AOSP). Il CERT ci ricorda infine che anche se “Tutte le patch di sicurezza di Android vengono rese disponibili da Google ai partner almeno un mese prima della pubblicazione, gli utenti devono attendere il rilascio degli aggiornamenti da parte dei rispettivi produttori o operatori di telefonia mobile“.

Tutti gli aggiornamenti dovranno essere installati il prima possibile: in alcuni dispositivi ciò avverrà in modo automatico mentre altri, invece, potrebbero ricevere la notifica dell’aggiornamento da parte dell’operatore o del produttore del dispositivo. Altri ancora, infine, potrebbero non supportare l’aggiornamento.

I dettagli delle nuove patch

Questi aggiornamenti Android sono stati suddivisi in due livelli: 2020-01-01 security patch level e 2020-01-05 security patch level.

Con il primo pacchetto, 2020-01-01 security patch level, sono state corrette otto vulnerabilità: le prime due sono di tipo EoP (Elevation of Privilege); la terza è di tipo DoS (Denial of Service). Insieme, queste prime tre si riferiscono al modulo Framework, ovvero la parte che fa da tramite tra il sistema operativo e il software che lo utilizza. La quarta vulnerabilità Android si riferisce al modulo Media framework ed è di tipo RCE (Remote Code Execution). Altre tre vulnerabilità interessano invece il modulo System e sono tutte di tipo ID (Information Disclosure). Infine, la vulnerabilità finale si riferisce a un aggiornamento di sistema per i Media Codecs Google Play.

Il secondo pacchetto delle patch di sicurezza Android contenute viene identificato come 2020-01-05 security patch level. Queste devono essere impiegate rispetto all’hardware e al sistema operativo installati sul device. Abbiamo inizialmente quattro vulnerabilità: la prima di tipo RCE (Remote Code Execution) e le altre tre di tipo EoP (Elevation of Privilege): queste sono state riconosciute nel modulo Kernel components. Nel modulo Qualcomm components, sono invece state determinate altre 11 vulnerabilità Android. Le ultime 18 infine sono state riconosciute nel modulo Qualcomm closed-source components.