Chamada de Android July security updates e lançada recentemente, a atualização do Android corrige 3 bugs explorados ativamente.
O Google lançou as atualizações mensais de segurança para o sistema operacional Android, que vem com correções para 46 vulnerabilidades. Atualmente, três dos problemas provavelmente são explorados ativamente.
Atualização do Android corrige 3 bugs explorados ativamente
Sim. A recente atualização do Android corrige 3 bugs explorados ativamente. CVE-2023-26083 é uma falha de vazamento de memória de gravidade média no driver de GPU Arm Mali para chips Bifrost, Avalon e Valhall, que foi aproveitado em uma cadeia de exploração que distribuiu spyware para dispositivos Samsung em dezembro de 2022.
“Há indicações de que as seguintes [vulnerabilidades] podem estar sob exploração limitada e direcionada”, diz o boletim do Google, destacando CVE-2023-26083, CVE-2021-29256 e CVE-2023-2136.
A vulnerabilidade foi considerada suficientemente grave para desencadear uma ordem da CISA para que as agências federais a corrigissem em abril de 2023.
CVE-2021-29256 é uma falha de divulgação de informações sem privilégios e escalonamento de privilégio de root de alta gravidade (CVSS v3.1: 8.8) que também afeta versões específicas dos drivers de kernel da GPU Bifrost e Midgard Arm Mali.
A terceira vulnerabilidade é de gravidade crítica com uma pontuação de 9,6 em 10, identificada como CVE-2023-2136.
É um bug de estouro de número inteiro no Skia, a biblioteca de gráficos 2D multiplataforma de código aberto do Google que também é usada no Chrome, onde foi corrigido em abril.
O mais grave dos problemas de segurança que o Google corrigiu este mês é o CVE-2023-21250, uma vulnerabilidade crítica no componente do sistema do Android que afeta as versões 11, 12 e 13 do Android.
A exploração do CVE-2023-21250 pode levar à execução remota de código sem interação do usuário ou privilégios de execução adicionais, diz o Google sem fornecer detalhes extras.
A atualização segue o sistema padrão de lançamento de dois níveis de patch, um (2023-07-01) para os principais componentes do Android (estrutura) e um segundo (2023-07-05) para kernel e componentes de código fechado, permitindo que os fabricantes de dispositivos apliquem seletivamente no que diz respeito ao hardware de seus modelos.
Aqueles que obtiverem o primeiro nível de patch receberão as atualizações de estrutura do mês atual e ambos os níveis do mês anterior, neste caso, junho de 2023.
Os usuários que veem o segundo nível de patch na tela de atualização obtêm todos os itens acima, além dos patches do fornecedor e do kernel de julho de 2023.
A atualização de segurança do Android deste mês abrange as versões 11, 12 e 13 do Android, mas, dependendo do escopo das vulnerabilidades abordadas, elas podem afetar as versões mais antigas do sistema operacional que não são mais suportadas.
Nesses casos, seria aconselhável substituir seu dispositivo por um modelo mais novo ou instalar uma distribuição Android de terceiros que implemente atualizações de segurança para dispositivos mais antigos, embora com atraso.
