Google a publié des mises à jour de sécurité de mars 2023 pour Android, corrigeant un total de 60 failles, et parmi elles, deux vulnérabilités d’exécution de code à distance (RCE) de gravité critique affectant les systèmes Android exécutant les versions 11, 12 et 13.
Les failles corrigées cette fois-ci sont livrées via deux niveaux de correctifs de sécurité distincts, à savoir 2023-03-01 et 2023-03-05. Le premier pack contient 31 correctifs pour les principaux composants Android tels que Framework, System et Google Play.
« Le plus grave de ces problèmes est une vulnérabilité de sécurité critique dans le composant système qui pourrait conduire à l’exécution de code à distance sans qu’aucun privilège d’exécution supplémentaire ne soit nécessaire », lit-on dans le bulletin de sécurité.
« L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation. »
Les deux failles sont identifiées comme CVE-2023-20951 et CVE-2023-20954, tandis que Google a retenu toutes les informations à leur sujet pour empêcher les attaquants de s’engager dans une exploitation active avant que les utilisateurs ne puissent appliquer les mises à jour disponibles.
Les 29 correctifs restants du premier niveau de correctif concernent l’escalade de privilèges à haute gravité, la divulgation d’informations et les problèmes de déni de service.
Le niveau de correctif 2023-03-05 contient 29 correctifs pour le noyau Android et les composants de fournisseurs tiers de MediaTek, Unisoc et Qualcomm.
Les problèmes les plus graves résolus ce mois-ci sont deux failles de gravité critique sur les composants Qualcomm à source fermée, suivies sous les noms CVE-2022-33213 et CVE-2022-33256.
Les autres failles de ce niveau de correctif sont toutes des vulnérabilités de haute gravité de type indéfini.
Pour mettre à jour votre appareil Android, accédez à Paramètres → Système → Mise à jour du système et cliquez sur le bouton « Vérifier les mises à jour ». Vous pouvez également accéder à Paramètres → Sécurité et confidentialité → Mises à jour → Mise à jour de sécurité.
Si vous utilisez Android 10 ou une version antérieure, votre appareil a atteint la fin de vie (EoL) depuis septembre 2022 (pour la v10) et il ne recevra pas de correctifs pour les défauts ci-dessus.
Cependant, certains correctifs de sécurité importants peuvent les atteindre via les mises à jour du système Google Play, accessibles via Paramètres → Sécurité et confidentialité → Mises à jour → Mise à jour du système Google Play.
Il est recommandé aux utilisateurs d’appareils plus anciens encore fonctionnels de passer à une distribution Android tierce active, comme LineageOS ou GrapheneOS, qui offre des images de système d’exploitation à jour pour les appareils qui ne sont plus pris en charge par leurs OEM.