Mise à jour de Sécurité de Samsung de juillet : une triste histoire de retards
Copyright 2023 The Associated Press. Tous droits réservésSamsung a de nouveau devancé Pixel lorsqu'il s'agit de publier des détails sur la version de sécurité de ce mois. Mais soyez prévenu, cette mise à jour est en réalité une mauvaise nouvelle pour votre appareil Galaxy : le problème alarmant est ce qui manque, pas ce qui a été corrigé.
google a maintenant confirmé que Samsung et d'autres appareils android sont vulnérables au même risque de sécurité que celui qui a provoqué l'avertissement zero-day de Pixel en juin. Alors que les Pixels ont été corrigés, les appareils Samsung ne l'ont pas été. Et cela n'est pas du tout abordé dans la mise à jour de juillet. Étant donné que cette menace était suffisamment grave pour provoquer une Avertissement du gouvernement américainvous devez être très attentif à l’exposition.
Mise à jour de Samsung fait Les correctifs de sécurité critiques pour Android incluent quatre autres correctifs, même si trois d'entre eux corrigent des vulnérabilités de Qualcomm et ont été retardés par rapport à la mise à jour Android de juin. Samsung prévient les utilisateurs que les mises à jour des composants peuvent arriver plus tard que les correctifs logiciels et micrologiciels, mais encore une fois, Pixel a réussi à les publier plus rapidement.
Au moins, l'autre mise à jour critique d'Android dans la version de juillet de Samsung est à jour et a été publiée immédiatement. Google prévient que CVE-2024-31320 a un impact sur le framework sous-jacent d'Android et « pourrait conduire à une escalade locale des privilèges sans qu'aucun privilège d'exécution supplémentaire ne soit nécessaire ». Considérez cela en soi comme un avertissement de mise à jour maintenant.
Au-delà des correctifs Android plus généraux, Samsung inclut la liste habituelle de ses propres correctifs, notamment des mises à jour critiques pour répondre à un risque de validation des entrées. Samsung prévient que cela pourrait permettre à un attaquant distant d'exécuter du code arbitraire en compromettant les données de contrôle sécurisées sur l'appareil. Bien que « l'interaction de l'utilisateur soit nécessaire pour déclencher cette vulnérabilité », ce qui signifie une forme de message d'interface utilisateur sur lequel l'utilisateur devrait agir, cela pourrait être masqué de différentes manières.
Mais le problème le plus critique est l’absence du correctif zero-day pour Pixel.
Le mois dernier, Google averti Les utilisateurs de Pixel ont déclaré que CVE-2024-32896 « pourrait faire l'objet d'une exploitation limitée et ciblée », et le gouvernement américain a alors exigé que les employés fédéraux mettent à jour leurs appareils Pixel avant le 4 juillet « ou cessent d'utiliser le produit ».
Ce correctif pour Pixel était la deuxième partie d'un correctif d'avril, et GrapheneOS, qui était à l'origine de la divulgation, a averti que « deux vulnérabilités sont en cours de correction », a indiqué GrapheneOS. « Aucun des deux problèmes n'est encore résolu en dehors de Pixels. »
Google confirmé cela, me disant que « la sécurité Android est consciente de ce problème, et après un examen plus approfondi, ce problème affecte la plateforme Android… Les appareils Pixel qui ont installé la dernière mise à jour de sécurité sont protégés… nous donnons la priorité aux correctifs applicables pour les autres partenaires OEM Android et les déploierons dès qu'ils seront disponibles. »
Et tandis que Google assure que « des exploits supplémentaires seraient nécessaires pour compromettre un appareil », c’est précisément cette combinaison de multiples vulnérabilités combinées dans une attaque en chaîne contre laquelle GrapheneOS a mis en garde. Il n’existe actuellement aucun correctif pour aucun appareil autre que les Pixel, et il faudra peut-être des mois avant qu’un correctif ne soit disponible.
GrapheneOS prévient également qu'une autre vulnérabilité, CVE-2024-29745, demeure une menace pour Samsung et d'autres appareils Android, et n'a également été corrigée que sur les Pixel. « CVE-2024-29745 est le problème le plus grave », m'a-t-on dit, « et a été entièrement corrigé en avril pour les Pixel, mais les autres appareils ne bénéficient pas encore de cette protection. » Comme il s'agit d'un problème de micrologiciel, il doit être corrigé par chaque fabricant. Et cela prendra du temps.
Ce risque, pour lequel Pixel a appliqué des correctifs et d'autres non, commence à se former, et ce n'est pas une bonne nouvelle si vous venez de dépenser plus de 1 000 dollars pour un nouveau produit phare. J'ai également contacté Samsung pour obtenir des commentaires sur ces vulnérabilités.
Android 15 approche à grands pas, et même si sa sortie ajoutera une multitude de apple-iphone-15-16/ » target= »_self » class= »color-link » title= »https://www.forbes.com/sites/zakdoffman/2024/05/17/google-free-upgrade-samsung-s24-s23-pixel-8-9-vs-apple-iphone-15-16/ » data-ga-track= »InternalLink:https://www.forbes.com/sites/zakdoffman/2024/05/17/google-free-upgrade-samsung-s24-s23-pixel-8-9-vs-apple-iphone-15-16/ » aria-label= »new security updates and enhanced user protection »>nouvelles mises à jour de sécurité et protection améliorée des utilisateurscela devrait également permettre de résoudre certains de ces problèmes en suspens. Mais l'attente sera longue. En attendant, les utilisateurs de Samsung devraient effectuer la mise à jour dès que la mise à jour de ce mois sera disponible pour votre modèle, votre région et votre opérateur.
