ClickCease Google découvre de graves failles de sécurité dans les puces Exynos de Samsung

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Google découvre de graves failles de sécurité dans les puces Exynos de Samsung

Le 31 mars 2023 - L'équipe de relations publiques de TuxCare

Le projet zéro de Google a découvert 18 failles dans les puces Exynos de Samsung, que les pirates pourraient utiliser pour compromettre complètement un téléphone à l'insu de l'utilisateur.

Les failles affectent une large gamme de smartphones Android de Samsung, Vivo et Google, ainsi que des vêtements et des véhicules utilisant les puces Exynos W920 et Exynos Auto T5123.

Les quatre plus graves de ces dix-huit vulnérabilités (CVE-2023-24033, CVE-2023-26496, CVE-2023-26497 et CVE-2023-26498) permettaient l'exécution de code à distance depuis l'internet vers la bande de base. Les tests du Projet Zéro confirment que ces quatre vulnérabilités permettent à un attaquant de compromettre à distance un téléphone au niveau de la bande de base sans interaction avec l'utilisateur et en utilisant uniquement le numéro de téléphone de la victime.

Quatre de ces failles permettent aux attaquants de compromettre à distance un téléphone au niveau de la bande de base sans interaction avec l'utilisateur, ce qui leur donne un accès privilégié aux données cellulaires qui entrent et sortent de l'appareil ciblé. Ces attaques peuvent être menées silencieusement et à distance, et des attaquants compétents peuvent créer des exploits opérationnels pour pénétrer dans les appareils concernés.

Alors que les combinés Pixel 6 et 7 ont déjà reçu un correctif dans le cadre des mises à jour de sécurité de mars 2023, les correctifs pour les autres appareils varieront en fonction du calendrier du fabricant. Il est conseillé aux utilisateurs de désactiver les appels Wi-Fi et la voix sur LTE (VoLTE) dans les paramètres de leur appareil afin d'éliminer le risque d'exploitation de ces vulnérabilités. Les 14 failles qui sont moins graves nécessitent soit un opérateur de réseau mobile malveillant, soit un attaquant ayant un accès local à l'appareil.

Samsung Semiconductor a publié des avis concernant les chipsets Exynos qui sont vulnérables à ces vulnérabilités. Selon les sites web publics qui établissent une correspondance entre les chipsets et les appareils, les produits concernés sont susceptibles d'inclure des appareils mobiles de Samsung, Vivo et Google, notamment ceux des séries S22, M33, M13, M12, A71, A53, A33, A21s, A13, A12 et A04, ainsi que les séries d'appareils Pixel 6 et Pixel 7 de Google.

Après avoir signalé des failles de sécurité à un fournisseur de logiciel ou de matériel, le Projet Zéro les rend publiques après une période de temps déterminée. Project Zero a retardé la divulgation des quatre vulnérabilités qui permettent l'exécution de code à distance de l'Internet vers la bande de base en raison d'une combinaison rare du niveau d'accès que ces vulnérabilités fournissent et de la rapidité avec laquelle un exploit opérationnel fiable pourrait être conçu. Si les quatorze autres vulnérabilités ne sont pas corrigées dans les 90 jours, elles seront divulguées publiquement.

Les sources de cet article comprennent un article de TheHackerNews.

Résumé
Google découvre de graves failles de sécurité dans les puces Exynos de Samsung
Nom de l'article
Google découvre de graves failles de sécurité dans les puces Exynos de Samsung
Description
Le projet zéro de Google a découvert 18 vulnérabilités de type "zero-day" dans les puces Exynos de Samsung, qui pourraient être utilisées pour compromettre un appareil.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information