Les mises à jour de sécurité Android de septembre 2023 corrigent 33 vulnérabilités, dont un bug zero-day actuellement ciblé dans la nature.
Cette vulnérabilité Zero Day de haute gravité (CVE-2023-35674) est une faille du framework Android qui permet aux attaquants d’élever leurs privilèges sans nécessiter d’interaction de l’utilisateur ni de privilèges d’exécution supplémentaires.
« Il y a des indications selon lesquelles CVE-2023-35674 pourrait faire l’objet d’une exploitation limitée et ciblée », a déclaré Google dans un avis publié mardi.
« L’exploitation de nombreux problèmes sur Android est rendue plus difficile par les améliorations apportées aux versions plus récentes de la plate-forme Android. Nous encourageons tous les utilisateurs à mettre à jour vers la dernière version d’Android lorsque cela est possible. »
Outre ce bug zero-day activement exploité, les mises à jour de sécurité Android de septembre corrigent également trois failles de sécurité critiques dans le composant du système Android et une dans les composants à source fermée de Qualcomm.
Les trois bogues système critiques (CVE-2023-35658, CVE-2023-35673, CVE-2023-35681) peuvent entraîner l’exécution de code à distance (RCE) après une exploitation réussie sans nécessiter de privilèges d’exécution supplémentaires ni d’interaction de l’utilisateur.
Les attaquants peuvent exploiter ces vulnérabilités dans les attaques RCE lorsque les atténuations de la plate-forme et des services sont désactivées à des fins de développement ou contournées avec succès.
Le quatrième bug critique (suivi comme CVE-2023-28581) est décrit par Qualcomm comme un problème de corruption de la mémoire du micrologiciel WLAN qui pourrait permettre à des attaquants distants d’exécuter du code arbitraire, de lire des informations sensibles ou de déclencher des pannes du système lors d’attaques de faible complexité qui ne le font pas. nécessitent des privilèges ou une interaction de l’utilisateur.
Deux niveaux de correctifs de sécurité
Comme d’habitude, Google a publié deux ensembles de correctifs pour septembre 2023, étiquetés comme niveaux de correctifs de sécurité 2023-09-01 et 2023-09-05.
Ce dernier niveau de correctif englobe tous les correctifs de sécurité de l’ensemble initial ainsi que des correctifs supplémentaires pour les composants tiers fermés et les composants du noyau qui peuvent ne pas être pertinents pour tous les appareils Android.
Le fournisseur de votre appareil peut choisir de donner la priorité au déploiement du niveau de correctif initial pour accélérer le processus de mise à jour, ce choix n’impliquant pas nécessairement un risque accru d’exploitation.
Il convient également de mentionner que, à l’exception des appareils Google Pixel, qui reçoivent immédiatement les mises à jour de sécurité mensuelles, les autres fournisseurs auront besoin d’un certain temps pour les transmettre à leurs appareils, car ils ont besoin de temps pour tester et affiner les correctifs pour chaque configuration matérielle.
Les mises à jour de sécurité Android de ce mois-ci ciblent les versions 11, 12 et 13 et peuvent également affecter des versions de système d’exploitation plus anciennes et non prises en charge.
Ceux qui utilisent Android 10 et versions antérieures devraient envisager de passer à des appareils exécutant une version prise en charge ou de flasher leur version actuelle à l’aide d’une ROM Android tierce basée sur une version AOSP récente.