Le bulletin de sécurité Android vient d’être mis à jour avec les notes de version de décembre. Cette ressource est idéale pour rester informé de l’ensemble des problèmes, qu’ils soient critiques ou à faible impact, affectant les appareils Android. Dans cette mise à jour, Android a corrigé plus de 80 vulnérabilités, dont beaucoup étaient de gravité critique.

Si un bug logiciel permet l’un des événements suivants, il est considéré comme critique :exécution de code arbitraire, bypass des mécanismes logiciels, raccès emote aux informations d’identification sensibles, rcontournement d’émote, remote DoS persistant, ou rcontournement de démarrage sécurisé emote. Le bulletin souligne : « La vulnérabilité la plus grave de cette section pourrait conduire à une élévation de privilèges à distance sans qu’aucun privilège d’exécution supplémentaire ne soit nécessaire. L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation.

Google publie des mises à jour mensuelles pour Android afin de garantir que les appareils restent protégés contre les dernières menaces. L’utilisation d’un téléphone obsolète ne pose peut-être pas de menace majeure, mais elle représente un risque de sécurité que l’on peut facilement éviter. Lors de la dernière série de mises à jour, Android a traité plus de 80 menaces ; parmi celles-ci se trouvaient 4 vulnérabilités critiques.

Les menaces critiques sont suivies comme CVE-2023-40077, CVE-2023-40088, CVE-2023-40076 et CVE-2023-45866. CVE signifie Common Vulnerabilities and Exposures et fonctionne comme une convention de dénomination pour aider les professionnels de la sécurité à suivre et à se référer à des menaces spécifiques. Nous n’entrerons pas dans les détails techniques de ces vulnérabilités critiques, mais voyons ce qu’est chacune d’elles.

CVE-2023-40077 est un problème de sécurité au sein des fonctions MetaDataBase.cpp. Ce problème est une vulnérabilité d’écriture Use-After-Free (UAF) résultant d’une condition de concurrence critique. En termes plus simples, une situation de concurrence critique apparaît lorsque le comportement d’un logiciel dépend du timing des événements, introduisant des résultats imprévisibles.

Vulnérabilités critiques d’Android pourrait conduire à une élévation de privilèges à distance sans aucun privilège d’exécution supplémentaire nécessaire

CVE-2023-40076 expose une possibilité d’accès non autorisé aux informations d’identification d’autres utilisateurs. De plus, la cause première réside dans un contournement des autorisations qui peut potentiellement ouvrir la voie à une élévation locale des privilèges.

CVE-2023-40088 est un bug RCE sans clic. Cette menace, si elle est exploitée, pourrait permettre à des utilisateurs distants non authentifiés d’exécuter du code sur un appareil. CVE-2023-45866 constitue une menace pour les appareils Android, Linux, macOS et iOS. Cette vulnérabilité permet un contournement de l’authentification, conduisant potentiellement à l’exécution de code du côté de la victime. L’exploit utilise un bug dans le mécanisme de couplage Bluetooth, incitant la cible à accepter une connexion avec un clavier Bluetooth.

La mise à jour Android de décembre a corrigé 84 vulnérabilités de sécurité, dont quatre (CVE-2023-40077, CVE-2023-40088, CVE-2023-40076 et CVE-2023-45866) sont critiques.

A lire également