Come da sua prassi, Google ha rilasciato la consueta patch di sicurezza mensile per smartphone Android. L’update in questione introduce le correzioni per ben 56 vulnerabilità, di cui 5 dal livello di gravità “critico” e una sfruttata ancora da fine 2022. Il nuovo livello di sicurezza raggiunto dal robottino verde porta, in particolar modo, il fix per CVE-2022-22706, una delle vulnerabilità più pericolose scoperte recentemente e riguardanti nello specifico le GPU Mali prodotte da ARM. Secondo il Threat Analysis Group (TAG) di Google, tale falla sarebbe stata usata attivamente in una campagna spyware contro smartphone Samsung.
Patch Android risolve importante falla GPU Mali
Con il punteggio di 7,8 su 10, questo grave problema di sicurezza permetterebbe ai malintenzionati senza privilegi nello smartphone bersaglio di ottenere l’accesso in scrittura nella memoria normalmente a sola lettura, permettendo così la manipolazione del dispositivo. CVE-2022-22706 riguarderebbe soprattutto le seguenti versioni del kernel per tre chip grafici distinti:
- GPU Midgard: tutte le versioni da r26p0 a r31p0
- GPU Bifrost: tutte le versioni da r0p0 a r35p0
- GPU Valhall: tutte le versioni da r19p0 a r35p0
Le correzioni sono ora disponibili per tutte le GPU Mali citate e permetteranno agli utenti Samsung di sentirsi al sicuro dai minacciosi spyware in circolazione.
Al contempo, gli utenti Android godranno delle risoluzioni per le criticità seguenti: CVE-2023-21127, CVE-2023-21108, CVE-2023-21130, CVE-2022-33257, CVE-2022-40529. In questi ultimi due casi si tratta di problemi correlati a componenti closed-source di Qualcomm.
Ricordiamo, in chiusura, che tutti i device con Android 10 o versioni precedenti non sono più supportati e non riceveranno questo aggiornamento, il quale diventerà invece disponibile su smartphone compatibili nel corso delle prossime settimane o, nei casi peggiori, nei prossimi mesi. Rammentiamo, difatti, che i produttori implementano le patch di sicurezza del robottino verde a cadenza regolare e, potenzialmente, a un mese dalla distribuzione in caso di supporto tecnico non prioritario.