Google ha rilasciato l'aggiornamento per la protezione di giugno 2018. I primi a riceverlo come al solito sono i dispositivi Pixel e Nexus dell'azienda di Mountain View. Le immagini del firmware degli smartphone di Google relative alle novità sono disponibili online per coloro che desiderano installare l'update manualmente sui propri device. Google in particolare ha patchato 57 vulnerabilità che hanno interessato lunedì il sistema operativo Android e componenti del kernel e del chipset legati a aziende di terze parti MediaTek, NVIDIA e Qualcomm. Undici bug sono valutati critici e 46 sono valutati alti.
Google ha dichiarato che le vulnerabilità più gravi sono i bug di esecuzione di codice in modalità remota (CVE-2018-9341, CVE-2018-5146 e CVE-2017-13230) nel framework multimediale Android "che potrebbero consentire da remoto a un utente malintenzionato di utilizzare un file appositamente predisposto per eseguire codice arbitrario nel contesto di un processo privilegiato". "Uno dei bug di esecuzione del codice remoto (CVE-2018-5146) è correlato al codec audio Ogg Vorbis open-source utilizzato nel framework multimediale Android. La vulnerabilità consiste in un difetto di scrittura della memoria fuori dai limiti che si verifica mentre il framework multimediale elabora dati audio Vorbis.
È stato reso pubblico il 16 marzo al concorso per hacker Pwn2Own di Huzaifa Sidhpurwala, senior product security engineer di Red Hat. Il bug ha anche influenzato le versioni di Mozilla Firefox e il client di posta Thunderbird, secondo Rapid7. La seconda vulnerabilità legata all'esecuzione di codice in modalità remota (CVE-2017-13230) è un difetto di scrittura fuori dai limiti con lo standard di compressione video High Efficiency Video Coding (H.265) utilizzato nel framework multimediale Android. Il bug è stato reso pubblico il 2 febbraio e rattoppato il 5 febbraio come parte del bollettino sulla sicurezza Android di Google a febbraio. A quel tempo, riporta Threat Post, è stato valutato come di media gravità.
"Nel codec hevc, c'è una scrittura fuori limite a causa di un controllo dei limiti errati con il valore i2_pic_width_in_luma_samples. Questo potrebbe portare a un'elevazione remota dei privilegi senza ulteriori privilegi di esecuzione necessari", secondo la descrizione del National Vulnerability Database del CVE. Sono disponibili dettagli tecnici, ma nessun metodo di utilizzo. Google e MITRE non hanno offerto alcun dettaglio sulla terza vulnerabilità del codice remoto (CVE-2018-9341). Un difetto critico nel chipset MediaTek è stato anche patchato. Il bug faceva parte delle condizioni di overflow del buffer che potevano essere attivate da un avversario nel trustlet di Android (processo trusted o processo IUM).
"La mancanza di controllo dei confini di un buffer nel trustlet può causare il danneggiamento della memoria. La patch fornita previene l'overflow del buffer confermando le dimensioni di origine e destinazione", descrive Samsung nel suo bollettino. Insieme alle patch di Google, Samsung Mobile offre tre elementi SVE, al fine di migliorare la fiducia dei suoi clienti sulla sicurezza dei dispositivi coreani. Oltre a quelli già descritti sono stati riparati anche quattro difetti critici nei chipset di Qualcomm. Due (CVE-2017-18158, CVE-2018-5854) erano relativi al Bootloader del componente; uno (CVE-2018-3569) era legato all'host WLAN; e il quarto era collegato a un problema in un "codec hardware" (CVE-2017-18155).
Google ha dichiarato di non avere segnalazioni di sfruttamento attivo o abuso delle vulnerabilità segnalate in attacchi reali. Per quanto riguarda le patch di sicurezza, "vengono rese disponibili da Google ai partner almeno un mese prima della pubblicazione". I dispositivi Pixel e Nexus hanno già iniziato a ricevere gli aggiornamenti via etere. Ci vorrà almeno una settimana perché gli aggiornamenti possano raggiungere tutti i dispositivi Nexus. Samsung, LG e altri fornitori di solito seguono Google nell'aggiornamento dei dispositivi di qualifica, ma lo fanno mensilmente. Alcuni fornitori non consegnano tutte le patch disponibili contemporaneamente. Come al solito, è possible attendere il download automatico degli aggiornamenti (consigliato) oppure verificarne la disponibilità e installarli manualmente via OTA.
È stato reso pubblico il 16 marzo al concorso per hacker Pwn2Own di Huzaifa Sidhpurwala, senior product security engineer di Red Hat. Il bug ha anche influenzato le versioni di Mozilla Firefox e il client di posta Thunderbird, secondo Rapid7. La seconda vulnerabilità legata all'esecuzione di codice in modalità remota (CVE-2017-13230) è un difetto di scrittura fuori dai limiti con lo standard di compressione video High Efficiency Video Coding (H.265) utilizzato nel framework multimediale Android. Il bug è stato reso pubblico il 2 febbraio e rattoppato il 5 febbraio come parte del bollettino sulla sicurezza Android di Google a febbraio. A quel tempo, riporta Threat Post, è stato valutato come di media gravità.
"Nel codec hevc, c'è una scrittura fuori limite a causa di un controllo dei limiti errati con il valore i2_pic_width_in_luma_samples. Questo potrebbe portare a un'elevazione remota dei privilegi senza ulteriori privilegi di esecuzione necessari", secondo la descrizione del National Vulnerability Database del CVE. Sono disponibili dettagli tecnici, ma nessun metodo di utilizzo. Google e MITRE non hanno offerto alcun dettaglio sulla terza vulnerabilità del codice remoto (CVE-2018-9341). Un difetto critico nel chipset MediaTek è stato anche patchato. Il bug faceva parte delle condizioni di overflow del buffer che potevano essere attivate da un avversario nel trustlet di Android (processo trusted o processo IUM).
"La mancanza di controllo dei confini di un buffer nel trustlet può causare il danneggiamento della memoria. La patch fornita previene l'overflow del buffer confermando le dimensioni di origine e destinazione", descrive Samsung nel suo bollettino. Insieme alle patch di Google, Samsung Mobile offre tre elementi SVE, al fine di migliorare la fiducia dei suoi clienti sulla sicurezza dei dispositivi coreani. Oltre a quelli già descritti sono stati riparati anche quattro difetti critici nei chipset di Qualcomm. Due (CVE-2017-18158, CVE-2018-5854) erano relativi al Bootloader del componente; uno (CVE-2018-3569) era legato all'host WLAN; e il quarto era collegato a un problema in un "codec hardware" (CVE-2017-18155).
Google ha dichiarato di non avere segnalazioni di sfruttamento attivo o abuso delle vulnerabilità segnalate in attacchi reali. Per quanto riguarda le patch di sicurezza, "vengono rese disponibili da Google ai partner almeno un mese prima della pubblicazione". I dispositivi Pixel e Nexus hanno già iniziato a ricevere gli aggiornamenti via etere. Ci vorrà almeno una settimana perché gli aggiornamenti possano raggiungere tutti i dispositivi Nexus. Samsung, LG e altri fornitori di solito seguono Google nell'aggiornamento dei dispositivi di qualifica, ma lo fanno mensilmente. Alcuni fornitori non consegnano tutte le patch disponibili contemporaneamente. Come al solito, è possible attendere il download automatico degli aggiornamenti (consigliato) oppure verificarne la disponibilità e installarli manualmente via OTA.
Via: Cert Nazionale
Nessun commento:
Posta un commento