Atualizações de setembro do Android corrigem uma falha zero-day

Lançadas mensalmente para resolver problemas de segurança, as atualizações de setembro do Android corrigem uma falha zero-day, e muito mais.

As atualizações de segurança do Android de setembro de 2023 abordam 33 vulnerabilidades, incluindo um bug zero-day atualmente em circulação.

Atualizações de setembro do Android corrigem uma falha zero-day

Atualizações de setembro do Android corrigem uma falha zero-day

Sim. O Atualizações de setembro do Android corrigem uma falha zero-day. Esta vulnerabilidade zero-day de alta gravidade (CVE-2023-35674) é uma falha na estrutura Android que permite que invasores aumentem privilégios sem exigir interação do usuário ou privilégios de execução adicionais.

“Há indicações de que CVE-2023-35674 pode estar sob exploração limitada e direcionada”, disse o Google em um comunicado emitido na terça-feira.

“A exploração de muitos problemas no Android é dificultada pelas melhorias nas versões mais recentes da plataforma Android. Encorajamos todos os usuários a atualizarem para a versão mais recente do Android sempre que possível.”

Além desse bug zero-day explorado ativamente, as atualizações de segurança do Android de setembro também abordam três falhas críticas de segurança no componente do sistema Android e uma nos componentes de código fechado da Qualcomm.

Os três bugs críticos do sistema (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) podem resultar na execução remota de código (RCE) após exploração bem-sucedida sem exigir privilégios de execução adicionais ou interação do usuário.

Os invasores podem aproveitar essas vulnerabilidades em ataques RCE quando as mitigações de plataforma e serviço são desativadas para fins de desenvolvimento ou contornadas com sucesso.

O quarto bug crítico (rastreado como CVE-2023-28581) é descrito pela Qualcomm como um problema de corrupção de memória de firmware WLAN que pode permitir que invasores remotos executem código arbitrário, leiam informações confidenciais, ou desencadear falhas no sistema em ataques de baixa complexidade que não exigem privilégios ou interação do usuário.

Como de costume, o Google lançou dois conjuntos de patches para setembro de 2023, marcados como níveis de patch de segurança 2023-09-01 e 2023-09-05.

O último nível de patch abrange todas as correções de segurança do conjunto inicial e patches adicionais para código fechado de terceiros e componentes do Kernel que podem não ser relevantes para todos os dispositivos Android.

O fornecedor do seu dispositivo pode optar por priorizar a implantação do nível de patch inicial para agilizar o processo de atualização, e essa escolha não implica necessariamente um risco aumentado de exploração.

Também vale a pena mencionar que, com exceção dos dispositivos Google Pixel, que recebem atualizações de segurança todos os meses imediatamente, outros fornecedores precisarão de algum tempo para enviá-las aos seus dispositivos, pois precisam de tempo para testar e ajustar os patches para cada configuração de hardware.

As atualizações de segurança do Android para este mês têm como alvo as versões 11, 12 e 13 e também podem afetar versões mais antigas e sem suporte do sistema operacional.

Aqueles que usam Android 10 e versões anteriores devem considerar a atualização para dispositivos que executam uma versão compatível ou atualizar a versão atual usando Android ROM de terceiros com base em uma versão recente do AOSP.

Deixe um comentário

Sair da versão mobile