As atualizações de segurança de dezembro de 2023 do Android abordam 85 vulnerabilidades, incluindo uma falha crítica de execução remota de código (RCE) que não requer cliques. Identificada como CVE-2023-40088, a vulnerabilidade foi encontrada no componente do sistema Android e não necessita de privilégios adicionais para ser explorada.

Embora a Google ainda não tenha revelado se a falha foi alvo de ataques, os atores de ameaças poderiam explorá-la para obter execução arbitrária de código sem interação do usuário. “A vulnerabilidade mais grave é no componente do sistema, que poderia levar à execução remota de código com proximidade/adjacência, sem necessidade de privilégios adicionais.

A exploração não requer interação do usuário”, explica o comunicado. Como de costume, a Google lançou duas séries de atualizações de segurança em dezembro, identificadas como os níveis de segurança 2023-12-01 e 2023-12-05.

O último inclui todas as correções do primeiro conjunto e patches adicionais para componentes de terceiros de código fechado e Kernel. Os fabricantes de dispositivos podem priorizar a implantação do primeiro nível de patch para simplificar o procedimento de atualização, embora isso não sugira necessariamente um risco elevado de exploração potencial.

É importante notar que, exceto para os dispositivos Google Pixel, que recebem atualizações de segurança mensais imediatamente após o lançamento, outros fabricantes precisarão de algum tempo antes de implementar os patches. Esse atraso é necessário para testes adicionais dos patches de segurança, a fim de garantir que não haja incompatibilidades com várias configurações de hardware.