Google ha pubblicato il bollettino di sicurezza mensile per Android con l’elenco delle vulnerabilità risolte. Una di esse è attivamente sfruttata, quindi si tratta di un bug zero-day. Le patch verranno aggiunte al repository di AOSP (Android Open Source Project), ma non tutti i dispositivi riceveranno l’aggiornamento a causa della nota frammentazione del sistema operativo.
Vulnerabilità RCE nel kernel
Google ha risolto complessivamente 46 vulnerabilità, quasi tutte con livello di gravità alto. Molte sono presenti nei componenti Arm, Qualcomm, MediaTek e Imagination Technologies. La più grave di Android, indicata con CVE-2024-36971, riguarda il kernel Linux e può essere sfruttata per eseguire codice remoto (RCE).
In dettaglio è una vulnerabilità “use after free” presente nella gestione dei percorsi di rete. Si verifica se non viene eliminato il puntatore ad una locazione di memoria, dopo aver cancellato o spostato i dati. Google scrive che circola già un exploit usato per colpire target specifici. Se qualcuno riesce a copiare codice nella locazione di memoria, il puntatore consente di accedervi e quindi di eseguire un eventuale malware.
L’azienda di Mountain View non ha fornito dettagli sull’exploit, ma spesso si tratta di attacchi effettuati contro un numero limitato di utenti a scopo di spionaggio. Le patch saranno disponibili in AOSP entro 48 ore. I primi smartphone a ricevere l’aggiornamento sono i Pixel.
Gli altri produttori dovranno effettuare test aggiuntivi per verificare la compatibilità, quindi potrebbero passare diversi giorni prima della distribuzione. A causa della frammentazione, i dispositivi con vecchie versioni di Android non verranno mai aggiornati.