A recente atualização de março do Android corrige duas falhas RCE críticas. Confira os detalhes desse update e das falhas.
O Google lançou atualizações de segurança de março de 2023 para Android, corrigindo um total de 60 falhas e, entre elas, duas vulnerabilidades de execução remota de código (RCE) de gravidade crítica que afetam os sistemas Android que executam as versões 11, 12 e 13.
Atualização de março do Android corrige duas falhas RCE críticas
As falhas corrigidas desta vez são fornecidas por meio de dois níveis de patch de segurança separados, ou seja, 2023-03-01 e 2023-03-05. O primeiro pacote contém 31 correções para os principais componentes do Android, como Framework, System e Google Play.
Segundo o boletim de segurança:
“O mais grave desses problemas é uma vulnerabilidade de segurança crítica no componente do sistema que pode levar à execução remota de código sem a necessidade de privilégios de execução adicionais. A interação do usuário não é necessária para a exploração.”
As duas falhas são rastreadas como CVE-2023-20951 e CVE-2023-20954, enquanto o Google reteve todas as informações sobre elas para impedir que os invasores se envolvam em exploração ativa antes que os usuários possam aplicar as atualizações disponíveis.
As 29 correções restantes no primeiro nível de patch dizem respeito à escalação de privilégios de alta gravidade, divulgação de informações e problemas de negação de serviço.
O nível de patch 2023-03-05 contém 29 correções para o kernel do Android e componentes de terceiros da MediaTek, Unisoc e Qualcomm.
Os problemas mais graves corrigidos este mês são duas falhas de gravidade crítica em componentes Qualcomm de código fechado, rastreados como CVE-2022-33213 e CVE-2022-33256.
O resto das falhas para este nível de patch são todas vulnerabilidades de alta gravidade de tipo indefinido.
Para atualizar seu dispositivo Android, vá para Configurações → Sistema → Atualização do sistema e clique no botão “Verificar atualizações”. Como alternativa, você pode navegar para Configurações → Segurança e privacidade → Atualizações → Atualização de segurança.
Se você estiver executando o Android 10 ou mais antigo, seu dispositivo atingiu o fim da vida útil (EoL) desde setembro de 2022 (para v10) e não receberá correções para as falhas acima.
No entanto, algumas correções de segurança importantes podem alcançá-los por meio de atualizações do sistema do Google Play, acessíveis em Configurações → Segurança e privacidade → Atualizações → Atualização do sistema do Google Play.
Recomenda-se que os usuários de dispositivos mais antigos que ainda estejam funcionais mudem para uma distribuição ativa do Android de terceiros, como LineageOS ou GrapheneOS, que oferece imagens atualizadas do sistema operacional para dispositivos que não são mais suportados por seus OEMs.