Atualização de outubro do Android corrige falhas zero-day, e mais

Lançada recentemente, a atualização de outubro do Android corrige falhas zero-day, e mais. Confira os detalhes dessa atualização.

O Google lançou as atualizações de segurança de outubro de 2023 para Android, abordando 54 vulnerabilidades exclusivas, incluindo duas conhecidas por serem exploradas ativamente.

Atualização de outubro do Android corrige falhas zero-day, e mais

Atualização de outubro do Android corrige falhas zero-day, e mais
Atualização de outubro do Android corrige falhas zero-day, e mais

As duas falhas exploradas são CVE-2023-4863 e CVE-2023-4211, para as quais o Google tem “indicações de que podem estar sob exploração limitada e direcionada”.

CVE-2023-4863 é uma vulnerabilidade de buffer overflow na onipresente biblioteca de código aberto libwebp, que afeta vários produtos de software, incluindo Chrome, Firefox, iOS, Microsoft Teams e muitos mais.

A falha específica foi inicialmente atribuída erroneamente a CVEs separados para Apple iOS e Google Chrome, embora na verdade estivesse na biblioteca subjacente. Uma tentativa subsequente de corrigi-lo atribuindo um novo CVE (CVE-2023-5129) foi rejeitada.

CVE-2023-4211 é uma falha explorada ativamente que afeta várias versões de drivers de GPU Arm Mali usados em uma ampla variedade de modelos de dispositivos Android.

Essa falha é um problema de uso de memória após liberação que pode permitir que invasores acessem ou manipulem localmente dados confidenciais.

Em resumo, a atualização do Android de outubro de 2023 traz:

  • 13 correções no Android Framework
  • 12 correções em componentes do sistema
  • Duas atualizações no Google Play
  • Cinco correções nos componentes do Arm
  • Três correções relacionadas aos chips MediaTek
  • Uma correção em relação aos chips Unisoc
  • 18 correções em componentes Qualcomm (15 para código fechado)

Das 54 correções relativas ao Android 11 a 13, cinco são classificadas como críticas e duas dizem respeito a problemas de execução remota de código.

Esta atualização segue o sistema padrão de lançamento de dois níveis de patch: o primeiro (01/10/2023) concentra-se nos componentes principais do Android (Framework + Sistema), enquanto o segundo (06/10/2023) aborda o kernel e componentes de código fechado .

Essa abordagem permite que os fabricantes de dispositivos apliquem seletivamente atualizações relevantes aos seus modelos de hardware, tornando-as disponíveis mais rapidamente.

Os destinatários do primeiro nível de patch obterão as atualizações principais do Android do mês atual, bem como as atualizações de ambos os níveis do mês anterior, neste caso, setembro de 2023.

Aqueles que visualizarem o segundo nível do caminho na tela de atualização receberão todas as atualizações mencionadas no boletim deste mês.

As versões 10 e anteriores do Android não são mais suportadas, mas dependendo do escopo de algumas vulnerabilidades corrigidas recentemente, elas também podem ser afetadas.

Dito isso, recomenda-se que os usuários de sistemas Android mais antigos atualizem para um modelo mais recente ou atualizem seus dispositivos com uma distribuição Android de terceiros que ofereça atualizações de segurança para seus modelos.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.