Atualizações de dezembro do Android corrigem falha crítica de RCE zero-clique
5 de Dezembro de 2023

O Google anunciou hoje que as atualizações de segurança do Android de dezembro de 2023 abordam 85 vulnerabilidades, incluindo um bug crítico de execução remota de código (RCE) de zero-clique.

Rastreado como CVE-2023-40088 , o bug RCE de zero-clique foi encontrado no componente de Sistema do Android e não requer privilégios adicionais para ser explorado.

Embora a empresa ainda não tenha revelado se os atacantes visaram essa falha de segurança no ambiente virtual, os atores de ameaças poderiam explorá-la para ganhar a execução arbitrária de código sem a interação do usuário.

"A mais grave dessas questões é uma vulnerabilidade de segurança crítica no componente do Sistema que poderia levar à execução remota (próximo/adjacente) de código sem a necessidade de privilégios adicionais de execução.

A interação do usuário não é necessária para exploração", explica o aviso.

"A avaliação de gravidade é baseada no efeito que a exploração da vulnerabilidade teria possivelmente em um dispositivo afetado, assumindo que as mitigações da plataforma e serviço estão desligadas para fins de desenvolvimento ou se foram burladas com sucesso."

Outras 84 vulnerabilidades de segurança foram corrigidas este mês, com três delas ( CVE-2023-40077 , CVE-2023-40076 e CVE-2023-45866) bugs críticos de escalonamento de privilégios e divulgação de informações nos componentes do Android Framework e do Sistema.

Uma quarta vulnerabilidade crítica ( CVE-2022-40507 ) foi abordada nos componentes fechados da Qualcomm.

Dois meses atrás, em outubro, o Google também corrigiu duas falhas de segurança ( CVE-2023-4863 e CVE-2023-4211 ) que foram exploradas como zero-days, a primeira na biblioteca de código aberto libwebp e a segunda afetando várias versões de driver da GPU Arm Mali usadas em uma ampla gama de modelos de dispositivos Android.

As atualizações de segurança do Android de setembro abordaram outro dia zero ( CVE-2023-35674 ) ativamente explorado no componente Android Framework que permitia aos agressores escalar privilégios sem a necessidade de privilégios adicionais de execução ou interação do usuário.

Como sempre, o Google divulgou dois conjuntos de patches com as atualizações de segurança de dezembro, identificadas pelos níveis de segurança 2023-12-01 e 2023-12-05.

O último inclui todas as correções do primeiro conjunto e patches adicionais para componentes de terceiros de código fechado e Kernel.

Notavelmente, esses outros patches podem não ser necessários para todos os dispositivos Android.

Os fabricantes dos dispositivos podem priorizar a implantação do nível de patch inicial para agilizar o processo de atualização, embora isso não sugira um risco aumentado de possível exploração.

Também é importante notar que, com exceção dos dispositivos Google Pixel, que recebem atualizações de segurança mensais imediatamente após o lançamento, outros fabricantes necessitarão de algum tempo antes de lançar os patches.

Esse atraso é necessário para testes adicionais dos patches de segurança para garantir que não haja incompatibilidades com várias configurações de hardware.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...