Google partage sur son bulletin de sécurité Android qu'il existe deux vulnérabilités critiques dans Android 11, 12, 12L et 13. Si vous disposez d'un appareil Android avec prise en charge actuelle, vous devez déclencher manuellement la mise à jour du système pour vérifier si la mise à jour de sécurité de mars est déjà disponible pour votre appareil.
Dans son bulletin de sécurité Android de mars 2023, Google a informé des vulnérabilités critiques CVE-2023-20951 et CVE-2023-20954. Ces deux vulnérabilités graves peuvent conduire à l'exécution de code à distance sans nécessiter d'autorisations d'exécution supplémentaires. Aucune interaction de l'utilisateur n'est requise pour l'utilisation. Si vous avez un appareil avec un support actuel, vous devez donc vérifier la mise à jour du système pour voir s'il fournit déjà une mise à jour de sécurité.
Google a informé les fabricants
Selon le bulletin de sécurité, les fabricants ont été informés en temps utile qu'ils peuvent adapter leurs correctifs de sécurité. Selon Google, l'écart touche tous les appareils, y compris ceux qui n'ont pas été rootés par l'utilisateur. La mise à jour de Google Play est également recommandée. Un appui sur la fonction suffit pour que l'appareil vérifie la version.
Il faut parfois beaucoup de temps pour que la mise à jour de sécurité soit déployée par les fabricants. Normalement, une mise à jour disponible est automatiquement signalée directement sur l'appareil. Cependant, certains spécialistes recommandent de vérifier manuellement une mise à jour disponible de temps en temps.
Le cadre est également touché
Le soi-disant cadre présente également des lacunes en matière de sécurité. Cependant, toutes ces vulnérabilités ne sont classées que comme élevées et non comme critiques et, à une exception près, affectent également les versions 11, 12 et 13 d'Android. Une mise à jour de sécurité à venir pour mars résoudra également ces problèmes : CVE-2023-20906, CVE-2023-20911, CVE-2023-20917, CVE-2023-20947, CVE-2023-20963, CVE-2023-20956, CVE-2023-20958, CVE-2023-20964.
La vulnérabilité la plus grave de ces CVE pourrait entraîner une élévation des privilèges locaux après la mise à niveau d'une application vers un SDK cible supérieur sans nécessiter de privilèges d'exécution supplémentaires.
Plus sur Android.com