Android a publié une nouvelle liste de failles de sécurité pour Android 11, 12 et 13 en novembre. En plus d’une brèche critique, il existe également 14 autres brèches très dangereuses. Le bulletin de sécurité met en garde contre des vulnérabilités supplémentaires, selon que des composants Arm, MediaTek ou Qualcomm sont installés sur l'appareil mobile.
Le bulletin de sécurité de Google de novembre 2023 est d'une longueur inquiétante. Cependant, les failles de sécurité qui y sont répertoriées ne s'appliquent pas à tous les appareils Android, même s'ils utilisent Android 11, 12 ou 13. Mais même parmi les vulnérabilités généralement valables, il existe non seulement une lacune critique, mais aussi 14 lacunes extrêmement dangereuses.
Selon Google, la vulnérabilité critique CVE-2023-40113 est particulièrement menaçante car elle affecte le système. Un attaquant ne devrait pas avoir besoin de droits d'exécution supplémentaires pour son attaque et devrait donc pouvoir accéder à des données réellement sécurisées. Les 14 autres lacunes, très dangereuses, pourraient permettre un élargissement des droits ou la divulgation d'informations dans le cadre.
Vulnérabilités supplémentaires dues aux composants Arm, MediaTek ou Qualcomm
Le bulletin de sécurité de novembre 2023 répertorie d'autres vulnérabilités si des composants Arm, MediaTek ou Qualcomm sont installés sur un appareil Android. Ils sont dotés du niveau de correctif 2023-11-05, qui est généralement intercepté via les correctifs de sécurité des fabricants d'appareils. Chez Arm, c'est un écart très dangereux, chez MediaTek, c'est six.
Il existe 15 vulnérabilités chez Qualcomm, dont 4 sont considérées comme critiques dans le domaine des composants fermés : CVE-2023-21671, CVE-2023-22388, CVE-2023-28574, CVE-2023-33045. Une exploitation réussie des vulnérabilités critiques pourrait permettre une élévation des privilèges. En fonction des privilèges associés au composant exploité, un attaquant pourrait alors installer des programmes, visualiser, modifier, supprimer des données, voire créer un nouveau compte avec tous les droits.
Plus sur Android.com