Bentornato ad un altro episodio elettrizzante dell'aggiornamento mensile sulla sicurezza di Google. Febbraio è arrivato e questo significa che è tempo che Google delinei tutte le patch che vengono fatte su Android e sottolinei chi le ha fatte.
Per i non iniziati, Google (e il progetto open source Android) accetta contributi da fonti esterne e dai team all'interno di Google. Ogni mese questi contributi vengono inviati ai partner di Google in modo che possano aggiornare i propri dispositivi e circa un mese dopo tali aggiornamenti vengono trasferiti sulla linea Nexus. Alcuni partner sono davvero bravi nell'aggiornamento dei loro prodotti, ma questo ciclo mensile è ancora una sfida per molte aziende che utilizzano Android sui propri prodotti.
Ecco cosa è stato risolto questo mese.
I problemi contrassegnati come critici dal team interno di Google questo mese riguardano tutti l'escalation dei privilegi e l'esecuzione del codice remoto. L'aggiornamento di febbraio affronterà i problemi relativi al codice remoto in un driver Broadcom Wifi e nel Mediaserver, mentre affronterà i problemi di escalation nel modulo delle prestazioni, nel driver Wifi e nel demone Debugger di Qualcomm. Esistono anche vulnerabilità di escalation nei sistemi Android Wifi e Mediaserver generici, ma questi problemi sono stati contrassegnati come alti anziché critici nell'elenco di gravità di Google. Un aggiornamento della libreria Minikin ha risolto anche una possibile vulnerabilità di Denial of Service.
Come sempre, Google afferma che non ci sono segnalazioni di sfruttamento attivo dei clienti utilizzando i problemi che sono stati segnalati e corretti in questo aggiornamento.
Due marcatori CVE etichettati Moderati da Google indicano un modo per aggirare la protezione del ripristino delle impostazioni predefinite nella procedura guidata di configurazione di Android e questi problemi sono stati corretti. Sebbene Google abbia contrassegnato questo problema come Moderato, è importante capire cosa significa questo problema per gli utenti. Esisteva una vulnerabilità che consentiva a qualcuno che sapeva di bypassare la misura di sicurezza che impedisce a qualcuno di accedere al telefono semplicemente eseguendo un ripristino delle impostazioni di fabbrica. Come spesso accade, Google afferma che non ci sono segnalazioni di sfruttamento attivo dei clienti utilizzando i problemi che sono stati segnalati e corretti in questo aggiornamento.
Gli utenti Nexus che desiderano eseguire subito il flashing di questo aggiornamento possono visitare il sito per gli sviluppatori di Google e prendere l'ultima versione per il flashing. Un aggiornamento OTA con questa patch sarà disponibile per telefoni e tablet Nexus nell'immediato futuro, anche se i proprietari di BlackBerry Priv potrebbero aver notato che questo aggiornamento OTA era disponibile questa mattina e può essere installato ora. Ci vediamo il prossimo mese!
