Google a annoncé aujourd'hui que les mises à jour de sécurité Android de décembre 2023 corrigent 85 vulnérabilités, y compris un bug d'exécution de code à distance (RCE) de gravité critique.
Suivi comme CVE-2023-40088, le bogue RCE sans clic a été trouvé dans le composant système d'Android et ne nécessite pas de privilèges supplémentaires pour être exploité.
Bien que l'entreprise n'ait pas encore révélé si des attaquants avaient ciblé cette faille de sécurité, les acteurs malveillants pourraient l'exploiter pour obtenir l'exécution de code arbitraire sans interaction de l'utilisateur.
« Le plus grave de ces problèmes est une vulnérabilité de sécurité critique dans le composant système qui pourrait conduire à l'exécution de code à distance (proximal/adjacent) sans privilèges d'exécution supplémentaires nécessaires. L'interaction de l'utilisateur n'est pas nécessaire pour l'exploitation », indique l'avis. explique.
« Le évaluation de la gravité est basé sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès.
84 vulnérabilités de sécurité supplémentaires ont été corrigées ce mois-ci, dont trois (CVE-2023-40077, CVE-2023-40076 et CVE-2023-45866) concernaient des bogues d'élévation de privilèges de gravité critique et de divulgation d'informations dans le framework Android et les composants du système.
Une quatrième vulnérabilité critique (CVE-2022-40507) a été corrigée dans les composants fermés de Qualcomm.
Les Zero Days d'Android exploités lors d'attaques
Il y a deux mois, en octobre, Google a également corrigé deux failles de sécurité (CVE-2023-4863 et CVE-2023-4211) qui étaient exploitées en tant que zero-day, la première dans la bibliothèque open source libwebp et la seconde affectant plusieurs Arm Mali. Versions du pilote GPU utilisées dans une large gamme de modèles d'appareils Android.
Les mises à jour de sécurité Android de septembre concernaient un autre jour zéro activement exploité (CVE-2023-35674) dans le composant Android Framework, qui permettait aux attaquants d'élever leurs privilèges sans nécessiter de privilèges d'exécution supplémentaires ni d'interaction de l'utilisateur.
Comme d'habitude, Google a publié deux ensembles de correctifs avec le mois de mises à jour de sécurité de décembre, identifiés comme étant les niveaux de sécurité 2023-12-01 et 2023-12-05. Ce dernier inclut tous les correctifs du premier ensemble ainsi que des correctifs supplémentaires pour les composants tiers à source fermée et du noyau. Notamment, ces autres correctifs peuvent ne pas être nécessaires sur tous les appareils Android.
Les fournisseurs d'appareils peuvent donner la priorité au déploiement du niveau de correctif initial afin de rationaliser la procédure de mise à jour, bien que cela ne suggère pas en soi un risque élevé d'exploitation potentielle.
Il est également important de noter que, à l'exception des appareils Google Pixel, qui reçoivent des mises à jour de sécurité mensuelles immédiatement après leur sortie, les autres fabricants auront besoin d'un certain temps avant de déployer les correctifs. Ce délai est nécessaire pour des tests supplémentaires des correctifs de sécurité afin de garantir l'absence d'incompatibilités avec diverses configurations matérielles.
