Le Project Zero de Google a mis en évidence cette semaine le « lacune » dans la distribution des correctifs de sécurité aux utilisateurs concernés et, ce faisant, a également révélé que des millions de téléphones Android risquaient une vulnérabilité de sécurité active.
Le problème spécifique que Project Zero de Google met en lumière cette semaine est une vulnérabilité de sécurité connue sous le nom de CVE-2022-33917. C’est une vulnérabilité qui affecte les appareils utilisant le GPU Mali d’Arm, ce qui signifie qu’elle affecte Google Pixel, Samsung Galaxy et d’innombrables autres smartphones Android.
S’il était exploité, il permettrait à un attaquant de « lire et écrire des pages physiques après qu’elles aient été renvoyées au système », obtenant potentiellement un « accès étendu » aux données d’un utilisateur.
Arm a apparemment résolu ces problèmes pour ses GPU Mali il y a quelque temps, après leur découverte en juin et juillet. Mais plusieurs mois plus tard, Project Zero a découvert que de nombreux appareils Android de Samsung, Oppo, Xiaomi et même la propre gamme Pixel de Google n’avaient pas encore implémenté ces correctifs, laissant la vulnérabilité ouverte.
Nous avons signalé ces cinq problèmes à ARM lorsqu’ils ont été découverts entre juin et juillet 2022. ARM a résolu les problèmes rapidement en juillet et août 2022, en les divulguant comme des problèmes de sécurité sur leur Vulnérabilités du pilote Arm Mali page (attribution CVE-2022-36449) et publier le source de pilote corrigée sur leur site Web de développeur public.
… nous avons découvert que tous nos appareils de test qui utilisaient le Mali sont toujours vulnérables à ces problèmes. CVE-2022-36449 n’est mentionné dans aucun bulletin de sécurité en aval.
Il convient de noter que cela ne s’applique pas aux appareils utilisant des puces Qualcomm Snapdragon, car ceux-ci n’utilisent pas le GPU Mali d’Arm. Cependant, les appareils utilisant des puces MediaTek, Samsung Exynos, ainsi que Google Tensor sont concernés.
Mise à jour du 27/11 : Dans un communiqué des équipes Android et Pixel, Google indique qu’un correctif pour cet exploit est actuellement en test et sera livré dans les « prochaines semaines ». Le correctif sera également requis pour les partenaires Android.
Le correctif fourni par Arm est actuellement en cours de test pour les appareils Android et Pixel et sera livré dans les prochaines semaines. Les partenaires OEM Android devront adopter le correctif pour se conformer aux futures exigences SPL.
Plus sur Androïd :
FTC : Nous utilisons des liens d’affiliation automatique générateurs de revenus. Plus.