Google a publié la mise à jour de sécurité mensuelle pour la plate-forme Android, ajoutant des correctifs pour 56 vulnérabilités, dont cinq avec un indice de gravité critique et une exploitée depuis au moins décembre dernier.
Le nouveau niveau de correctif de sécurité 2023-06-05 intègre un correctif pour CVE-2022-22706, une faille de haute gravité dans le pilote du noyau GPU Mali d’Arm que le groupe d’analyse des menaces (TAG) de Google pense qu’il pourrait avoir été utilisé dans un logiciel espion. campagne ciblant les téléphones Samsung.
« Il y a des indications que CVE-2022-22706 pourrait faire l’objet d’une exploitation limitée et ciblée », lit-on dans le dernier bulletin de Google. La CISA a également souligné l’exploitation active de CVE-2022-22706 dans un avis publié fin mars.
Avec un score de 7,8 sur 10, le problème de sécurité de haute gravité permet aux utilisateurs non privilégiés d’obtenir un accès en écriture aux pages mémoire en lecture seule.
Selon Arm, le problème affecte les versions de pilote de noyau suivantes :
- Pilote du noyau GPU Midgard : toutes les versions de r26p0 à r31p0
- Pilote du noyau GPU Bifrost : toutes les versions de r0p0 à r35p0
- Pilote du noyau GPU Valhall : toutes les versions de r19p0 à r35p0
Arm a corrigé le problème dans Bifrost et Valhall GPU Kernel Driver r36p0 et dans Midgard Kernel Driver r32p0, mais le correctif n’a été intégré à la version stable d’Android que maintenant.
Il convient de noter que Samsung a traité CVE-2022-22706 dans sa mise à jour de mai 2023. La réponse rapide de l’entreprise à l’exploitation active de la faille est probablement due au fait que ses utilisateurs sont explicitement ciblés par la campagne de logiciels espions.
Les failles de gravité critique corrigées dans la mise à jour Android de ce mois-ci incluent :
- CVE-2023-21127 – Faille d’exécution de code à distance dans Android Framework, impactant Android 11, 12 et 13. Correction dans le niveau de correctif de sécurité « 2023-06-01 ».
- CVE-2023-21108 – Faille d’exécution de code à distance dans le système Android, impactant Android 11, 12 et 13. Correction dans le niveau de correctif de sécurité « 2023-06-01 ».
- CVE-2023-21130 – Faille d’exécution de code à distance dans le système Android, impactant Android 13. Correction dans le niveau de correctif de sécurité « 2023-06-01 ».
- CVE-2022-33257 – Faille critique de type indéfini, impactant les composants fermés de Qualcomm. Correction dans le niveau de correctif de sécurité « 2023-06-05 ».
- CVE-2022-40529 – Faille critique de type indéfini, impactant les composants fermés de Qualcomm. Correction dans le niveau de correctif de sécurité « 2023-06-05 ».
Les appareils exécutant Android 10 ou une version antérieure ne sont plus pris en charge et ne recevront pas cette mise à jour de sécurité.
Les utilisateurs d’appareils obsolètes doivent être conscients du risque d’impact potentiel. Ils doivent soit passer à un modèle Android plus récent et activement pris en charge, soit se tourner vers une distribution Android tierce qui fournit toujours des correctifs de sécurité, même si ceux-ci sont généralement retardés.