Le bulletin de sécurité des produits de juillet 2023 du fabricant de puces taïwanais MediaTek décrit les failles de sécurité affectant les chipsets MediaTek pour smartphones, tablettes, AIoT, écrans intelligents, écrans intelligents, OTT et Wi-Fi.
Ce le conseil de sécurité fournit des détails sur 24 vulnérabilités, dont CVE-2023-20754 et CVE-2023-20755 ont été classées comme étant de gravité « élevée ».
Détails des failles de gravité « élevée »
- CVE-2023-20754 – Débordement ou bouclage d’entier dans keyinstall
La vulnérabilité est suivie comme CVE-2023-20754, débordement d’entier ou bouclage dans keyinstall avec une plage de gravité « élevée ». En raison d’un débordement d’entier, il peut y avoir une installation de clé en écriture hors limites.
Cela peut entraîner le besoin de privilèges d’exécution du système et d’élévation des privilèges locaux. L’exploitation ne nécessite pas l’intervention de l’utilisateur.
Chipsets concernés : MT6580, MT6731, MT6735, MT6737, MT6739, MT6753, MT6757, MT6757C, MT6757CD, MT6757CH, MT6761, MT6762, MT6763, MT6765, MT6768, MT6769, MT6771, MT6779, MT6781, MT6785, MT6789, MT6833, MT6835, MT6853, MT6853T, MT6855, MT6873, MT6875, MT6877, MT6879, MT6883, MT6885, MT6886, MT6889, MT6891, MT6893, MT6895, MT6983, MT6985, MT8185, MT8321, MT8385, MT8 666, MT8667, MT8765, MT8766, MT8768, MT8781, MT8786, MT8788, MT8789, MT8791, MT8791T, MT8797.
Versions logicielles concernées : Android 11.0, 12.0, 13.0.
- CVE-2023-20755 : Validation d’entrée incorrecte dans keyinstall
La validation d’entrée incorrecte dans la vulnérabilité keyinstall est suivie comme CVE-2023-20755, avec une plage de gravité « élevée » où un débordement d’entier dans keyinstall peut entraîner une écriture hors limites.
Cela pourrait entraîner une élévation locale des privilèges avec les droits d’exécution du système nécessaires. L’exploitation n’a pas besoin de l’implication de l’utilisateur.
Chipsets concernés : MT6580, MT6731, MT6735, MT6737, MT6739, MT6753, MT6757, MT6757C, MT6757CD, MT6757CH, MT6761, MT6762, MT6763, MT6765, MT6768, MT6769, MT6771, MT6779, MT6781, MT6785, MT6789, MT6833, MT6835, MT6853, MT6853T, MT6855, MT6873, MT6875, MT6877, MT6879, MT6883, MT6885, MT6886, MT6889, MT6891, MT6893, MT6895, MT6983, MT6985, MT8185, MT8321, MT8385, MT8 666, MT8667, MT8765, MT8766, MT8768, MT8781, MT8786, MT8788, MT8789, MT8791, MT8791T, MT8797
Versions logicielles concernées : Androïd 11.0, 12.0, 13.0
Défauts de gravité « moyenne »
- CVE-2023-20753 : Écriture hors limites
- CVE-2023-20756 : Débordement ou bouclage d’entier
- CVE-2023-20757 : Validation d’entrée incorrecte dans cmdq
- CVE-2023-20758 : Validation d’entrée incorrecte dans cmdq
- CVE-2023-20759 : Validation d’entrée incorrecte dans cmdq
- CVE-2023-20760 : Validation d’entrée incorrecte dans apu
- CVE-2023-20761 : Validation d’entrée incorrecte dans ril
- CVE-2023-20766 : Mauvaise validation des entrées dans le GPS
- CVE-2023-20767 : Validation d’entrée incorrecte dans pqframework
- CVE-2023-20768 : Accès à une ressource utilisant un type incompatible (« confusion de type »)
- CVE-2023-20771 : Exécution simultanée à l’aide de la ressource partagée avec une synchronisation incorrecte (« condition de concurrence »)
- CVE-2023-20772 : Authentification incorrecte
- CVE-2023-20773 : Authentification incorrecte
- CVE-2023-20774 : Validation d’entrée incorrecte à l’écran
- CVE-2023-20775 : Copie de tampon sans vérifier la taille de l’entrée (« Débordement de tampon classique »)
- CVE-2023-20689 : Débordement d’entier vers débordement de tampon
- CVE-2023-20690 : Débordement d’entier vers débordement de tampon
- CVE-2023-20691 : Débordement d’entier vers débordement de tampon
- CVE-2023-20692 : Déréférencement du pointeur NULL
- CVE-2023-20693 : Déréférencement du pointeur NULL
- CVE-2022-32666 : Interface utilisateur (UI) Fausse représentation des informations critiques
- CVE-2023-20748 : Validation d’entrée incorrecte
La société a ajouté que les OEM des appareils avaient été informés de tous les problèmes et des mises à jour de sécurité qui les accompagnaient au moins deux mois avant la publication.
« Mesures de sécurité des e-mails basées sur l’IA Protégez votre entreprise des menaces par e-mail ! » – Demander une démo gratuite.
->Google Actualités