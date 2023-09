L’estate di Huawei è stata bella carica di novità — tra un Mate 60 Pro lanciato un po’ a sorpresa, il debutto italiano di MatePad 11.5 e alcuni incoraggianti segnali di ripresa, il tutto senza dimenticare gli annunci software, con particolare riferimento ad HarmonyOS 4 — e in questa sede parliamo dell’aggiornamento con le patch di sicurezza di settembre 2023 che il produttore cinese ha prontamente già presentato nei dettagli.

Patch di sicurezza di Huawei per settembre 2023: le novità dell’aggiornamento

Nel mese di agosto, Huawei aveva iniziato a rilasciare la versione stabile della rinnovata EMUI 13, sulla scia di una prolungata fase beta; allo stato attuale, si parla di un roll out ancora piuttosto limitato, tuttavia la situazione è in evoluzione: la EMUI 13 è in distribuzione per i dispositivi compatibili, a prescindere dall’eventuale iscrizione al programma beta, pertanto andrà diffondendosi gradualmente.

Al netto di ciò, c’è un aggiornamento che ci interessa più nell’immediato: Huawei ha appena illustrato nei dettagli le patch di sicurezza di settembre 2023. Come di consueto, l’aggiornamento si compone di due parti: la prima comprensiva dei fix per le CVE di Android, con particolare riferimento a quelli contenuti nelle patch di sicurezza rilasciate da Google ad agosto 2023; la seconda dedicata alle patch specifiche di Huawei per EMUI e Magic UI.

Quanto alle patch di sicurezza di Android di agosto 2023 incluse nell’aggiornamento, ve ne sono due di livello critico — CVE-2023-21282, CVE-2023-21273 — una sola di livello medio (CVE-2023-21649), nessuna di livello basso, ma numerose di livello alto: CVE-2023-21287, CVE-2023-21267, CVE-2023-21281, CVE-2023-21285, CVE-2023-21286, CVE-2023-21288, CVE-2023-21292, CVE-2023-21283, CVE-2023-21272, CVE-2023-21275, CVE-2023-21268, CVE-2023-21290, CVE-2023-21265. Per maggiori dettagli, potete fare riferimento al bollettino di sicurezza di Android (raggiungibile dall’articolo linkato poco sopra).

Per quanto riguarda le vulnerabilità risolte dalle patch della EMUI, se ne segnala innanzitutto una di livello alto (CVE-2022-48605) che interessa l’autenticazione tramite riconoscimento dell’impronta digitale e chiama in causa EMUI 13.0.0 ed EMUI 11.0.1. Passando oltre, Huawei ha risolto altresì due vulnerabilità DoS di livello alto nel modulo PMS parecchio diffuse (EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1) che, se sfruttata, poteva provocare riavvii del sistema. Ancora nella nuova EMUI 13.0.0, è stata scovata e risolta una vulnerabilità di livello alto (CVE-2023-41293) nel modulo DDMP che attiene alla classificazione di sicurezza dei dati e che, se sfruttata, avrebbe potuto mettere a rischio la privacy degli utenti. L’aggiornamento pone rimedio anche a numerose vulnerabilità meno gravi (vengono classificate come di livello medio), ma ugualmente significative: tra le altre, se ne segnalano un paio relative al controllo del modulo audio che, ove sfruttate, avrebbero potuto comportare l’attivazione automatica di una o più applicazioni sui dispositivi con la EMUI 13.0.0 e la EMUI 12.0.1. Un’altra ancora, la CVE-2023-41310, era ancora più diffusa — EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1 — e suona piuttosto preoccupante: ove sfruttata, avrebbe potuto consentire ad app malevole di rimanere in esecuzione in background. Tornando al tema della privacy, la vulnerabilità CVE-2023-41305 tocca il modulo SMS e attiene più precisamente ai messaggi inviati in 5G senza crittografia in ambiente VPN. Infine, la vulnerabilità CVE-2023-4565, se sfruttata, avrebbe potuto impedire l’attivazione della funzione hotspot sui dispositivi con a bordo EMUI 13.0.0, EMUI 12.0.1, EMUI 12.0.0, EMUI 11.0.1.

Maggiori dettagli su tutte le vulnerabilità risolte da Huawei con l’aggiornamento di sicurezza di settembre 2023 sono disponibili sul sito ufficiale.

Come procedere all’aggiornamento

L’annuncio dell’aggiornamento da parte del produttore non ne implica, purtroppo, l’immediata disponibilità per tutti i dispositivi compatibili. Come di consueto, il rilascio avverrà in maniera graduale e sarà direttamente il dispositivo a segnalare all’utente la presenza di un nuovo aggiornamento da installare. Ad ogni modo, gli utenti più impazienti potranno ugualmente eseguire un controllo manuale di disponibilità tramite il solito percorso “Impostazioni > Sistema e aggiornamenti > Aggiornamento software“.

