Google a publié sa série mensuelle de correctifs de sécurité pour Android, qui comble un grand nombre de vulnérabilités, dont une faille de type "zero-day" qui serait activement exploitée dans la nature par des acteurs de la menace.
« Il existe des indications selon lesquelles CVE-2021-1048 pourrait faire l'objet d'une exploitation limitée et ciblée », souligne Google dans l’édition de novembre du bulletin de sécurité. La vulnérabilité de type zéro-day, classée comme étant de haute gravité, est une faille de type « use-after-free » résidant dans le composant du noyau et pouvant conduire à une escalade locale des privilèges.
Le titan de la technologie n'a pas divulgué d'autres informations sur cette faille de sécurité, probablement pour donner au plus grand nombre d'utilisateurs possible la possibilité de corriger leurs systèmes et ainsi réduire les risques d'exploitation par des cybercriminels.
Outre la vulnérabilité zéro-day, la série mensuelle de correctifs de sécurité porte sur 38 autres vulnérabilités. Cinq de ces failles de sécurité ont été qualifiées de critiques en termes de gravité. CVE-2021-0930 et CVE-2021-0918 sont des bogues d'exécution de code à distance qui affectent le composant système d'Android. La plus grave des vulnérabilités affectant le composant système pourrait permettre à des acteurs de menaces distants d'exécuter du code arbitraire dans le contexte d'un processus privilégié en utilisant une transmission spécialement conçue.
Deux autres vulnérabilités critiques affectent les composants fermés de Qualcomm, à savoir CVE-2021-1924 et CVE-2021-1975. Le fabricant de puces basé à Sand Diego fournit le degré de gravité des problèmes affectant ses composants.
« Divulgation d'informations par le biais de canaux secondaires de synchronisation et d'alimentation pendant l'exponentiation modale pour RSA-CRT », peut-on lire dans la description du bulletin de sécurité CVE-2021-1924 de la société. Parallèlement, CVE-2021-1975 est décrit comme un « dépassement de tas possible dû à une vérification incorrecte de la longueur du domaine lors de l'analyse de la réponse DNS. »
La cinquième et dernière vulnérabilité jugée critique affecte le composant Android TV Remote Service. Indexée sous le nom de CVE-2021-0889, la faille d'exécution de code à distance pourrait permettre à un acteur de la menace se trouvant à proximité de coupler secrètement la télévision et d'exécuter du code arbitraire, sans aucun privilège et sans nécessiter aucun type d'interaction avec l'utilisateur.
Les utilisateurs feraient bien de corriger leurs appareils dès que possible. Les correctifs de sécurité de niveau 2021-011-06 ou ultérieur devraient permettre de corriger toutes les vulnérabilités de sécurité énumérées dans le bulletin de sécurité Android de ce mois-ci. Si vous ne savez pas comment vérifier le niveau de correctif de sécurité de votre appareil, vous pouvez consulter le guide pratique de Google qui vous guidera tout au long du processus.