Android Marshmallow è da poche ore uscito dall’officina con un tagliando nuovo di zecca. L’ultimo sistema operativo mobile di Google, giunto alla versione 6.0.1, ha ricevuto una serie di patch correttive per risolvere un elenco di vulnerabilità, più o meno serie, che affliggevano la piattaforma. L’aggiornamento è disponibile per i dispositivi Nexus e per i Pixel C, a cui poi seguiranno (con tempi incerti) tutti gli altri device che supportano questa release. Google ha pubblicato ieri i dettagli del security bulletin di aprile, in cui sono elencate tutte le falle chiuse dagli sviluppatori. Big G ha sottolineato anche che tutto l’ecosistema di partner che ruota attorno a questi smartphone ha ricevuto la descrizione dei bug già il 16 marzo scorso. I codici sorgenti delle patch verranno rilasciati sulle pagine dell’Android open source project (Aosp) tra oggi e domani.

I principali Oem che si affidano al robottino verde, come per esempio Samsung, dovrebbero iniziare la distribuzione poi nel giro di qualche settimana. In totale, le vulnerabilità risolte sono 29. Otto sono state classificate come critiche, 13 con gravità alta e le restanti otto come moderate. I bug più pericolosi potrebbero portare all’esecuzione di codice da remoto, oppure all’escalation dei privilegi degli utenti.

Per esempio, una delle vulnerabilità critiche coinvolge l’elaborazione dei file multimediali, che potrebbero trasformarsi in porte d’accesso per i malware nel caso venissero scaricati o aperti tramite allegati mail, Web, Mms o app di messaggistica istantanea. Un secondo bug molto serio riguarda invece il client Dhcp, mentre altri due colpiscono il Performance Module di Qualcomm e i driver Rf del produttore di chip.

L’esecuzione di codice da remoto, in questi casi, potrebbe anche compromettere il firmware dei dispositivi, obbligando l’utente a installare nuovamente il sistema operativo. Però, sottolinea Google, il rischio è presente soltanto nei device che consentono il download di applicazioni da fonti non certificate (al difuori del Play Store) e nei terminali su cui è stato effettuato il root. Pur invitando caldamente gli utenti ad aggiornare Marshmallow non appena gli Oem distribuiranno l’update, Big G ha sottolineato che al momento non risultano exploit noti delle vulnerabilità.