Naviguer dans les dernières mises à jour de sécurité d'Android : Faits marquants du mois de décembre 2023
Dans le monde en constante évolution de la technologie mobile, il est primordial de garantir la sécurité de nos appareils. Google, l'entreprise à l'origine du système d'exploitation Android, a récemment publié ses mises à jour de sécurité Android de décembre, qui corrigent 85 vulnérabilités.
Nous allons nous pencher sur les points forts de cette version et comprendre pourquoi il est crucial de maintenir vos systèmes Android à jour.
Les mises à jour de sécurité d'Android corrigent 85 vulnérabilités
Ces mises à jour de sécurité de décembre corrigent 85 vulnérabilités, dont un bogue critique d'exécution de code à distance de type "zero-click" découvert dans le composant "System" d'Android. Baptisé CVE-2023-40088, ce problème pourrait entraîner l'exécution de code à distance (proximal/adjacent) sans qu'aucun privilège d'exécution supplémentaire ne soit nécessaire. L'interaction de l'utilisateur n'est pas nécessaire pour l'exploitation.
On ne sait pas encore si cette vulnérabilité a été exploitée dans la nature. Toutefois, le potentiel d'exécution de code à distance sans interaction avec l'utilisateur souligne l'urgence de corriger les appareils dès que possible.
Autres vulnérabilités critiques en matière de sécurité
Outre le bogue RCE "zéro-clic", Google a corrigé trois vulnérabilités critiques (CVE-2023-40077, CVE-2023-40076 et CVE-2023-45866) liées à l'élévation des privilèges et à la divulgation d'informations dans les composants du système et du cadre d'Android. Une vulnérabilité critique dans les composants fermés de Qualcomm a également été corrigée.
Précédents cas d'exploitation d'une faille dans Android
Google a corrigé deux vulnérabilités de type "zero-day" (CVE-2023-4863 et CVE-2023-4211) en octobre. Une autre faille zero-day activement exploitée (CVE-2023-35674) dans le composant Android Framework a été corrigée dans les mises à jour de sécurité de septembre. Cette faille pourrait permettre à des attaquants d'élever leurs privilèges sans interaction avec l'utilisateur ou sans privilèges d'exécution supplémentaires.
Comme auparavant, les mises à jour de sécurité de décembre sont également déployées en deux séries : 2023-12-01 et 2023-12-05. Ce dernier contient davantage de correctifs pour les sources fermées tierces et les composants du noyau, en plus de tous les correctifs de la première série. Il est important de noter que tous les appareils Android n'ont pas forcément besoin de ces correctifs supplémentaires.
Contrairement aux smartphones Google Pixel, qui bénéficient de mises à jour de sécurité immédiates, les autres fabricants pourraient avoir besoin d'un délai supplémentaire pour publier les correctifs. En effet, des tests complets seraient nécessaires pour assurer la compatibilité avec les différentes configurations matérielles.
Conclusion
Dans le monde numérique d'aujourd'hui, il est essentiel de se tenir au courant des mises à jour de sécurité d'Android. Les utilisateurs doivent donner la priorité à l'installation de ces mises à jour afin de protéger leurs appareils contre les exploits potentiels et de garantir une expérience Android transparente et sécurisée.
Les sources de cet article comprennent un article de BleepingComputer.