Une vulnérabilité non encore corrigée met des millions de téléphones Android en danger

admin0

[ad_1]

D’après Google Projet Zéro (via 9to5 Google) d’analystes en sécurité, des millions de combinés Android sont vulnérables à une vulnérabilité non corrigée connue sous le nom de CVE-2022-33917. CVE signifie Vulnérabilités et expositions courantes et chaque numéro CVE fait référence à une faille spécifique. Le CVE susmentionné est une vulnérabilité qui affecte les appareils Android équipés du GPU Mali d’ARM. Cela signifie que les combinés Google Pixel et Samsung Galaxy sont concernés, ainsi que les smartphones Android fabriqués par de nombreux autres fabricants.
Tant que le correctif n’est pas diffusé, les attaquants peuvent potentiellement exploiter la faille. Google affirme que cela permettrait aux attaquants de « continuer à lire et à écrire des pages physiques après qu’elles aient été renvoyées au système ». En outre, la société ajoute qu' »en forçant le noyau à réutiliser ces pages en tant que tables de pages, un attaquant avec une exécution de code natif dans un contexte d’application pourrait obtenir un accès complet au système, en contournant le modèle d’autorisations d’Android et en permettant un large accès aux données des utilisateurs ».

ARM est censé avoir corrigé la vulnérabilité, mais elle n’a pas encore été corrigée pour le moment

Project Zero note qu’il a informé ARM des vulnérabilités et qu’ARM a « rapidement » résolu les problèmes en juillet et août de cette année. ARM a attribué le numéro CVE-2022-33917 à la faille. Mais Google a découvert plus tard « que tous nos appareils de test qui utilisaient Mali sont toujours vulnérables à ces problèmes. CVE-2022-36449 n’est mentionné dans aucun bulletin de sécurité en aval ». En d’autres termes, les appareils fabriqués par la propre équipe Pixel de Google, Samsung, Oppo et Xiaomi n’ont jamais été corrigés et présentent toujours cette vulnérabilité exploitable.

Gardez à l’esprit que les téléphones à risque sont équipés d’un GPU Mali qui élimine les appareils alimentés par un chipset Snapdragon. Cependant, les combinés utilisant des puces Google Tensor, Exynos ou MediaTek doivent être corrigés. La bonne nouvelle est que Google teste un correctif qui devrait être publié « dans les semaines à venir ». Les fabricants de téléphones qui construisent des appareils Android devront également l’inclure.

La déclaration de Google se lit comme suit : « Le correctif fourni par Arm est actuellement en cours de test pour les appareils Android et Pixel et sera livré dans les prochaines semaines. Les partenaires OEM Android devront prendre le correctif pour se conformer aux futures exigences SPL. »

Google dit aux fournisseurs qu’ils doivent corriger ces failles immédiatement

Et Google a également des paroles de sagesse pour les fournisseurs d’Android qui tentent d’empêcher qu’un incident similaire ne se reproduise à l’avenir. La société indique clairement que les fournisseurs ont la responsabilité de corriger leurs failles logicielles, tout comme les utilisateurs d’Android doivent télécharger les mises à jour de sécurité dès qu’elles sont reçues.
« Tout comme il est recommandé aux utilisateurs de corriger aussi rapidement qu’ils le peuvent une fois qu’une version contenant des mises à jour de sécurité est disponible, il en va de même pour les fournisseurs et les entreprises. Minimiser le » manque de correctifs « en tant que fournisseur dans ces scénarios est sans doute plus important, car la fin les utilisateurs (ou d’autres fournisseurs en aval) bloquent cette action avant de pouvoir bénéficier des avantages de sécurité du correctif », a écrit Google.

Le géant de la recherche a ajouté que « les entreprises doivent rester vigilantes, suivre de près les sources en amont et faire de leur mieux pour fournir des correctifs complets aux utilisateurs dès que possible ».

Google n’a pas déclaré que la vulnérabilité avait été exploitée par des attaquants, mais pour le moment, il s’agit d’une faille pouvant être utilisée pour voler les données personnelles de certains téléphones Android. Lorsque la mise à jour arrive – et Google a annoncé qu’elle arriverait bientôt – si vous avez un téléphone Android à risque, installez la mise à jour immédiatement. Vous pouvez rapidement déterminer si votre appareil est vulnérable en consultant les spécifications de votre téléphone sur PhoneArena et en vérifiant pour voir le fabricant du GPU sur l’appareil.

S’il indique que vous disposez d’une unité de traitement graphique (GPU) ARM Mali, votre appareil est en danger. Continuez à vérifier car nous mettrons à jour cette histoire lorsque le patch sera diffusé.

[ad_2]

Source link -12