Segundo o próprio Google, as atualizações de dezembro do Android corrigem falha crítica. Confira os detalhes dessas correções e da ameaça.
Sim. O Google anunciou recentemente que as atualizações de segurança do Android de dezembro de 2023 abordam 85 vulnerabilidades, incluindo um bug de execução remota de código (RCE) de gravidade crítica com zero clique.
Atualizações de dezembro do Android corrigem falha crítica
Rastreado como CVE-2023-40088, o bug RCE de clique zero foi encontrado no componente Sistema do Android e não requer privilégios adicionais para ser explorado.
Embora a empresa ainda não tenha revelado se os invasores atacaram essa falha de segurança, os agentes da ameaça poderiam explorá-la para obter a execução arbitrária de código sem interação do usuário.
“O mais grave desses problemas é uma vulnerabilidade crítica de segurança no componente do sistema que pode levar à execução remota (proximal/adjacente) de código sem a necessidade de privilégios de execução adicionais. A interação do usuário não é necessária para a exploração”, explica o comunicado.
“A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade poderia ter em um dispositivo afetado, assumindo que as mitigações de plataforma e serviço sejam desativadas para fins de desenvolvimento ou se forem contornadas com sucesso.”
Outras 84 vulnerabilidades de segurança foram corrigidas este mês, com três delas (CVE-2023-40077, CVE-2023-40076 e CVE-2023-45866) escalonamento de privilégios de gravidade crítica e bugs de divulgação de informações na estrutura Android e nos componentes do sistema.
Uma quarta vulnerabilidade crítica (CVE-2022-40507) foi abordada nos componentes de código fechado da Qualcomm.
Há dois meses, em outubro, o Google também corrigiu duas falhas de segurança (CVE-2023-4863 e CVE-2023-4211) que foram exploradas como zero-day, a primeira na biblioteca de código aberto libwebp e a última afetando vários Arm Mali Versões de driver de GPU usadas em uma ampla variedade de modelos de dispositivos Android.
As atualizações de segurança do Android de setembro abordaram outro dia zero explorado ativamente (CVE-2023-35674) no componente Android Framework que permitiu que invasores aumentassem privilégios sem exigir privilégios de execução adicionais ou interação do usuário.
Como de costume, o Google lançou dois conjuntos de patches com o mês de atualizações de segurança de dezembro, identificados como os níveis de segurança 2023-12-01 e 2023-12-05.
Este último inclui todas as correções do primeiro conjunto e patches adicionais para componentes de código fechado e Kernel de terceiros. Notavelmente, esses outros patches podem não ser necessários para todos os dispositivos Android.
Os fornecedores de dispositivos podem priorizar a implantação do nível de patch inicial para agilizar o procedimento de atualização, embora isso não sugira inerentemente um risco elevado de exploração potencial.
Também é importante observar que, exceto os dispositivos Google Pixel, que recebem atualizações mensais de segurança imediatamente após o lançamento, outros fabricantes precisarão de algum tempo antes de lançar os patches.
Esse atraso é necessário para testes adicionais dos patches de segurança para garantir que não haja incompatibilidades com diversas configurações de hardware.