Google a publié les mises à jour de sécurité d’octobre 2023 pour Android, corrigeant 54 vulnérabilités uniques, dont deux connues pour être activement exploitées.
Les deux failles exploitées sont CVE-2023-4863 et CVE-2023-4211, pour lesquelles Google a « des indications selon lesquelles elles pourraient faire l’objet d’une exploitation limitée et ciblée ».
CVE-2023-4863 est une vulnérabilité de dépassement de tampon dans la bibliothèque open source omniprésente libwebp, qui affecte de nombreux produits logiciels, notamment Chrome, Firefox, IOS, Équipes Microsoftet beaucoup plus.
Cette faille particulière s’est initialement vu attribuer par erreur des CVE distincts pour Apple iOS et Google Chrome, alors qu’elle se trouvait en fait dans la bibliothèque sous-jacente. Une tentative ultérieure de résoudre le problème en attribuant un nouveau CVE (CVE-2023-5129) a été rejeté.
CVE-2023-4211 est une faille activement exploitée affectant plusieurs versions des pilotes GPU Arm Mali utilisés dans une large gamme de modèles d’appareils Android.
Cette faille est un problème d’utilisation de mémoire après libération qui pourrait permettre à des attaquants d’accéder localement ou de manipuler des données sensibles.
En résumé, le Mise à jour Android d’octobre 2023 apporte:
- 13 correctifs dans Android Framework
- 12 correctifs dans les composants système
- Deux mises à jour sur Google Play
- Cinq correctifs dans les composants Arm
- Trois correctifs concernant les puces MediaTek
- Un correctif concernant les puces Unisoc
- 18 correctifs sur les composants Qualcomm (15 pour les sources fermées)
Sur les 54 correctifs concernant Android 11 à 13, cinq sont jugés critiques et deux concernent des problèmes d’exécution de code à distance.
Cette mise à jour suit le système standard de publication de deux niveaux de correctifs : le premier (2023-10-01) se concentre sur les composants de base d’Android (Framework + System), tandis que le second (2023-10-06) concerne le noyau et les composants à code source fermé. .
Cette approche permet aux fabricants d’appareils d’appliquer de manière sélective les mises à jour pertinentes à leurs modèles de matériel, les rendant ainsi disponibles plus rapidement.
Les destinataires du premier niveau de correctif recevront les mises à jour principales d’Android du mois en cours ainsi que les mises à jour des deux niveaux du mois précédent, dans ce cas, septembre 2023.
Ceux qui voient le deuxième niveau de voie sur leur écran de mise à jour recevront toutes les mises à jour mentionnées dans le bulletin de ce mois-ci.
Les versions Android 10 et antérieures ne sont plus prises en charge, mais en fonction de l’ampleur de certaines vulnérabilités récemment corrigées, elles pourraient également être affectées.
Cela dit, il est recommandé aux utilisateurs d’anciens systèmes Android de passer à un modèle plus récent ou de flasher leur appareil avec une distribution Android tierce proposant des mises à jour de sécurité pour leurs modèles.