Aggiornamenti di sicurezza di ottobre 2023 per Android: risolti due problemi di vulnerabilità sfruttati

Google ha annunciato il rilascio degli aggiornamenti di sicurezza di ottobre 2023 per Android, che risolvono un totale di 51 vulnerabilità, comprese 2 vulnerabilità zero-day sfruttate in attacchi maligni.

Il primo problema sfruttato riguarda CVE-2023-4863

Il primo problema sfruttato riguarda CVE-2023-4863 (punteggio CVSS di 8.8), un heap buffer overflow nella libreria Libwebp che può causare una scrittura fuori dai limiti della memoria e l'esecuzione remota di codice (RCE).

Rilevati attacchi mirati a iPhone

Pur senza fornire dettagli specifici sugli attacchi in corso, Google ha riferito che questo problema è stato segnalato da Apple e dal gruppo Citizen Lab presso la Munk School dell'Università di Toronto, spesso collegato a fornitori di spyware commerciali. La vulnerabilità è stata sfruttata per diffondere spyware su iPhone.

Un secondo problema zero-day risolto

Un secondo problema zero-day risolto nel corso di questo mese riguarda CVE-2023-4211, un bug nel driver GPU Arm Mali che consente a un utente locale non privilegiato di eseguire "operazioni improprie sul processamento della memoria GPU per accedere a memoria già liberata". Sono state riscontrate evidenze limitate di sfruttamento mirato di questa vulnerabilità, suggerendo un possibile coinvolgimento di spyware commerciali.