Google a publié les mises à jour de sécurité mensuelles pour le système d’exploitation Android, qui contiennent des correctifs pour 46 vulnérabilités. Trois des problèmes sont probablement activement exploités dans la nature.
« Il y a des indications que les [vulnérabilités] suivantes peuvent faire l’objet d’une exploitation limitée et ciblée », lit le bulletin de Google, mettant en évidence CVE-2023-26083, CVE-2021-29256 et CVE-2023-2136.
CVE-2023-26083 est une faille de fuite de mémoire de gravité moyenne dans le pilote GPU Arm Mali pour les puces Bifrost, Avalon et Valhall, qui a été exploitée dans une chaîne d’exploitation qui a livré des logiciels espions aux appareils Samsung en décembre 2022.
La vulnérabilité a été jugée suffisamment grave pour déclencher une ordonnance de la CISA pour que les agences fédérales la corrigent en avril 2023.
CVE-2021-29256 est une faille de divulgation d’informations non privilégiées et d’élévation des privilèges root de haute gravité (CVSS v3.1 : 8.8) qui affecte également des versions spécifiques des pilotes de noyau GPU Bifrost et Midgard Arm Mali.
La troisième vulnérabilité est de gravité critique avec un score de 9,6 sur 10, identifiée comme CVE-2023-2136. Il s’agit d’un bogue de débordement d’entier dans Skia, la bibliothèque graphique 2D multiplateforme open source de Google qui est également utilisée dans Chrome, où il a été corrigé en avril.
Le plus grave des problèmes de sécurité résolus par Google ce mois-ci est CVE-2023-21250, une vulnérabilité critique du composant système d’Android qui affecte les versions 11, 12 et 13 d’Android.
L’exploitation de CVE-2023-21250 pourrait conduire à l’exécution de code à distance sans interaction de l’utilisateur ni privilèges d’exécution supplémentaires, indique Google sans fournir de détails supplémentaires.
La mise à jour suit le système standard de publication de deux niveaux de correctifs, un (2023-07-01) pour les composants Android principaux (framework) et un second (2023-07-05) pour le noyau et les composants à source fermée, permettant aux fabricants d’appareils d’appliquer de manière sélective ce qui concerne le matériel de leurs modèles.
Ceux qui obtiennent le premier niveau de correctif reçoivent les mises à jour du cadre du mois en cours et les deux niveaux du mois précédent, dans ce cas, juin 2023.
Les utilisateurs qui voient le deuxième niveau de correctif sur leur écran de mise à jour obtiennent tout ce qui précède, ainsi que les correctifs du fournisseur et du noyau de juillet 2023.
La mise à jour de sécurité Android de ce mois-ci couvre les versions 11, 12 et 13 d’Android, mais selon l’étendue des vulnérabilités corrigées, elles peuvent avoir un impact sur les anciennes versions du système d’exploitation qui ne sont plus prises en charge.
Dans ces cas, il serait conseillé de remplacer votre appareil par un modèle plus récent ou d’installer une distribution Android tierce qui implémente des mises à jour de sécurité pour les appareils plus anciens, bien qu’avec un certain retard.