Au total, 85 failles de sécurité ont été corrigées dans le bulletin de sécurité Android de décembre 2023.
Dans le contexte: Android est souvent accusé d’être sujet à diverses failles de sécurité qui pourraient affecter la confidentialité des utilisateurs. Bien que Google ait pris de nombreuses mesures pour rendre le système d’exploitation plus sûr, des problèmes continuent de surgir de temps en temps. Cette semaine, Google a déclaré avoir découvert une vulnérabilité de sécurité critique qui pourrait permettre l’exécution de code à distance (RCE) sans clic.
Suivie comme CVE-2023-40088, la faille a été trouvée dans le composant système d’Android et est classée par Google comme étant de gravité « critique ». Selon la National Vulnerability Database, le problème survient lors d’un callback_thread_event de com_android_bluetooth_btservice_AdapterService.cpp, lorsque la mémoire pourrait être corrompue en raison d’une utilisation après libération. Cela pourrait conduire à l’exécution de code à distance sans privilèges supplémentaires et sans aucune interaction de l’utilisateur.
On ne sait pas si le bug a déjà été exploité dans la nature, mais Google affirme avoir publié un correctif pour résoudre le problème dans le cadre du bulletin de sécurité de décembre 2023. Selon les notes de version, le correctif n’est compatible qu’avec les versions Android les plus récentes, allant d’Android 11 à Android 14.
Il convient de noter ici que la publication d’un correctif par Google n’est que la première étape vers la sécurité des utilisateurs finaux, car chaque fournisseur ou opérateur doit encore déployer sa propre mise à jour pour corriger le bug. Par conséquent, à moins que vous n’utilisiez un Pixel, vous devrez peut-être attendre plusieurs semaines pour la mise à jour et certains appareils risquent de ne jamais la recevoir.
En plus du bug susmentionné, Google a corrigé 84 failles de sécurité supplémentaires dans le cadre de la mise à jour de décembre. Trois d’entre eux sont classés comme « critiques », tandis que les autres sont classés comme étant de gravité « élevée ». Plusieurs autres vulnérabilités affectent les composants à source fermée de Qualcomm et sont décrites en détail dans le dernier bulletin de sécurité de Qualcomm. L’une de ces vulnérabilités est répertoriée comme « critique », tandis que les autres sont classées comme « élevées ».
Alors que la sécurité devient un problème de plus en plus épineux pour les utilisateurs d’Android, Google affirme travailler sur de nouvelles façons de renforcer la sécurité de son système d’exploitation mobile. Tout d’abord, la société introduit des solutions de nettoyage basées sur le compilateur pour détecter les problèmes de sécurité de la mémoire dès le début du processus de développement logiciel. Ensuite, il travaille avec des partenaires matériels pour ajouter des fonctionnalités de sécurité de la mémoire au niveau du micrologiciel. Enfin, l’entreprise met en œuvre diverses mesures pour rendre plus difficile l’exploitation de bugs inconnus par les pirates.