Google ha pubblicato l’Android Security Bullettin di dicembre 2023, ovvero il bollettino sulla sicurezza in cui vengono dettagliati i correttivi applicati per risolvere le vulnerabilità dei dispositivi Android. Le aziende partner di Google vengono informate dei problemi almeno un mese prima della pubblicazione, le patch del codice sorgente relative a questi problemi vengono rilasciate nel repository Android Open Source Project (AOSP) nelle successive 48 ore.
Il più grave dei problemi risolti con le patch di sicurezza Android di dicembre è una vulnerabilità critica del sistema che potrebbe portare all’esecuzione di codice remoto (CVE-2023-40088) senza che siano necessari privilegi per l’esecuzione, per lo sfruttamento non sono necessarie azioni da parte dell’utente. È stata contrassegnata come critica a causa degli effetti che il suo sfruttamento potrebbe avere su un dispositivo, presupponendo che le Android and Google service mitigations siano disattivate per finalità di sviluppo o che vengano aggirate con successo. Non sappiamo se la vulnerabilità sia mai stata sfruttata.
Le vulnerabilità critiche di sistema risolte dalle patch Android dell’1 e del 5 dicembre hanno i seguenti codici identificativi CVE:
