Tutti i prezzi sono validi al momento della pubblicazione. Se fai click o acquisti qualcosa, potremmo ricevere un compenso.

Google dettaglia le patch di sicurezza Android di dicembre 2023

05 Dicembre 2023 16

Google ha pubblicato l'Android Security Bullettin di dicembre 2023, ovvero il bollettino sulla sicurezza in cui vengono dettagliati i correttivi applicati per risolvere le vulnerabilità dei dispositivi Android. Le aziende partner di Google vengono informate dei problemi almeno un mese prima della pubblicazione, le patch del codice sorgente relative a questi problemi vengono rilasciate nel repository Android Open Source Project (AOSP) nelle successive 48 ore.

Il più grave dei problemi risolti con le patch di sicurezza Android di dicembre è una vulnerabilità critica del sistema che potrebbe portare all'esecuzione di codice remoto (CVE-2023-40088) senza che siano necessari privilegi per l'esecuzione, per lo sfruttamento non sono necessarie azioni da parte dell'utente. È stata contrassegnata come critica a causa degli effetti che il suo sfruttamento potrebbe avere su un dispositivo, presupponendo che le Android and Google service mitigations siano disattivate per finalità di sviluppo o che vengano aggirate con successo. Non sappiamo se la vulnerabilità sia mai stata sfruttata.

Le vulnerabilità critiche di sistema risolte dalle patch Android dell'1 e del 5 dicembre hanno i seguenti codici identificativi CVE:

  • CVE-2023-40088 (RCE), aggiornati sistemi AOSP Android 11, 12, 12L, 13 e 14
  • CVE-2023-45866 (EoP), aggiornati sistemi AOSP Android 11, 12, 12L, 13 e 14.

In totale, sempre per quel che riguarda il sistema, tenendo conto delle patch dell'1 e del 5 dicembre 2023, vengono risolte:

  • 2 vulnerabilità contrassegnate come "critiche" (le due sopra)
  • 15 vulnerabilità ad alto rischio.

Il consiglio è sempre quello di mantenere aggiornato il proprio smartphone all'ultima versione disponibile. Al di là delle novità funzionali che il produttore dovesse introdurre per l'interfaccia utente, lo sprone principale per aggiornare dovrebbe essere quello di mantenere lo smartphone il più sicuro possibile.


16

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
T. P.

Google Pixel 7

Bellerofonte

Su che dispositivo. Il mio S23U è fermo a settembre

boosook

Sì sì va bene, infatti è probabile che la UE farà in futuro delle leggi per garantire almeno un certo numero minimo di anni di aggiornamenti come sta facendo con la riparabilità. Tuttavia, bisogna sapere che questo avrà un costo. Ovviamente, un produttore non ti venderà più a 2-300 euro un prodotto se deve supportarlo per 5-7 anni. Per due motivi: primo perché supportarlo gli costa, secondo, perché allungando il ciclo di vita del prodotto tu cambi il telefono meno frequentemente quindi, se non vuole fallire, deve fare più margini sul singolo telefono. Questo è indipendente dalla customizzazione. E' evidente che la standardizzazione dell'OS in stile Windows abbasserebbe i costi del supporto, ma come ho detto non è ciò che i produttori vogliono, e probabilmente nemmeno gli utenti, e questo non puoi imporlo per legge.

Alessandro Scarozza

ecco esatto, ma basterebbe fare delle leggi per disincentivare la customizzazione e spingere sugli aggiornamenti di sicurezza, del tipo:
1) per tipo 7 anni se entro 30 giorni dal rilascio di patch di sicurezza non vengono rese risponibili per l'utente, quest'ultimo può riconsegnare il device e ricevere il 100% della cifra spesa
2) per tipo 5 anni se entro 3 mesi dal rilascio di aggiornamenti non di sicurezza non vengono resi risponibili per l'utente, quest'ultimo può riconsegnare il device e ricevere il 100% della cifra spesa meno il 20% per ogni anno trascorso dall'immissione in commercio del device

roba del genere

boosook

Se volessero potrebbero, fra l'altro Google aveva anche cercato di incentivare proprio l'abbandono delle interfacce proprietarie tramite il programma Android One, che appunto prevedeva l'utilizzo di Android stock con un launcher stock, che lo rendeva molto simile ai Pixel e che rendeva molto facile fare gli aggiornamenti per i produttori.
Fra i grandi produttori hanno aderito solo in due: Xiaomi, che però si è limitata a un paio di dispositivi, e Nokia, che invece ha puntato su questo per un periodo, salvo poi abbandonare. Io ho avuto sia uno Xiaomi (l'ottimo A1) che un Nokia (un 5.1) con Android One ed erano all'epoca veramente simili ai Pixel come software.
Tuttavia, proprio per la mancata adesione dei produttori, che preferiscono customizzare il loro software, e forse anche per il disinteresse degli utenti, che o non se ne curano oppure preferiscono loro stessi il software customizzato, Google ha chiuso il programma.
Quindi la risposta alla tua domanda è: non vogliono. :)

Alessandro Scarozza

"Non è possibile fare diversamente perché i produttori non vogliono"
non vogliono o non possono ?

PS nessuno li obbliga a fare personalizzazioni e poi ad abbandonare i device realizzati è

boosook

Non è possibile fare diversamente perché i produttori non vogliono, in quanto devono differenziarsi lato software per ragioni di mercato. Nonostante ciò, col tempo Google è riuscita a risolvere parzialmente il problema diatribuendo parte degli aggiornamenti tramite Play Services, mentre per quanto riguarda l'obsolescenza programmata il problema a mio avviso non sussiste, Google offre 7 anni, se a uno interessa si prende un Pixel, ma la maggior parte della gente cambia molto più frequentemente anche per questioni di usura del dispositivo.

Alessandro Scarozza

Dovrebbe essere illegale vendere un prodotto tecnologico e non garantire aggiornamenti software per tipo 5 anni e di sicurezza per tipo 10.

Vuoi personalizzare? Ok ma ti devi fare carico di tutto

T. P.

ora guardo ma oggi mi sono arrivate quelle del Google Play di novembre e ricevere anche queste sarebbe troppa grazia! :)

ErCipolla

Ci sono pro e contro, non credo ci sia una risposta "giusta". Da una parte, la natura open di Android permette permette ai produttori di sperimentare molto a fondo, il che li induce ad innovare (vedi tutte le feature che sono partite da produttori terzi e sono arrivate su AOSP solo anni dopo). Dall'altro significa anche che sui telefoni non c'è "Android" c'è "un SO basato su Android" che cambia a seconda del modello e del produttore, quindi Google non può mandare file di aggiornamento in maniera unilaterale, perché non sa se quei file vanno ad interferire con quella specifica personalizzazione di Android.

Ecco, di sicuro non direi "dovrebbe essere illegale", da dove arriva questa posizione così "estrema"?

Alessandro Scarozza

si appunto, è una scelta: privilegi la personalizzazione alla sicurezza. non saprei se sia il motivo del fallimento di win phone, ad esempio windows desktop o chromeos funzionano esattamente cosi ed hanno successo.

fosse per me sarebbe proprio illegale questo tipo di comportamento

ErCipolla

E' perché dovresti rinunciare a gran parte della personalizzazione, che è ciò che distingue i produttori e ciò che da loro una leva per competere. Sarebbe una situazione alla Windows Phone, dove il produttore poteva al massimo modificare il tema e poco altro (e infatti fu uno dei motivi per cui pochissimi produttori si interessarono a tale progetto)

Riccardo

a me ancora non lo trova

Alessandro Scarozza

hai descritto lo stato attuale non perché non è possibile fare diversamente

ErCipolla

No, perché i produttori modificano pesantemente Android per fare le loro personalizzazioni, quindi patch "universali" romperebbero tutto. Ogni produttore purtroppo deve prendere le patch, verificare che non interferiscano con le loro modifiche, nel caso modificarle per risolvere eventuali conflitti e poi pubblicarle per il dispositivo specifico.

Tx888

ma non possono fare un sistema aggiornamento come quello di windows? eviteremo tanta obsolescenza programmata

Recensione OnePlus Watch 2: sfida a Samsung con Wear OS e un'ottima batteria

Recensione Xiaomi 14, il TOP compatto che vorrei! | VIDEO

Xiaomi 14 ufficiale in Italia. Video anteprima 14 Ultra

Xiaomi Pad S6 Pro, Watch 2, S3 e Smart Band 8 Pro ufficiali in Italia | PREZZI