5/5 - (2 votes)

Avis de sécurité Android du 03 janvier 2024

Google corrige de multiples vulnérabilités découvertes dans son système d’exploitation Android. Elles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, une atteinte à la confidentialité des données et une élévation de privilèges.

Correction d’une élévation de privilèges :

Le Bulletin de sécurité Android contient des détails sur les vulnérabilités de sécurité affectant les appareils Android. Les niveaux de correctifs de sécurité du 05/01/2024 ou ultérieurs résolvent tous ces problèmes. Le plus grave de ces problèmes est une vulnérabilité de sécurité élevée dans le composant Framework qui pourrait conduire à une élévation locale des privilèges sans qu’aucun privilège d’exécution supplémentaire ne soit nécessaire.

Des améliorations fonctionnelles affectant les appareils Pixel :

Le bulletin de mise à jour Pixel contient des détails sur les vulnérabilités de sécurité et les améliorations fonctionnelles affectant les appareils Pixel pris en charge (appareils Google). Pour les appareils Google, les niveaux de correctif de sécurité du 05/01/2024 ou version ultérieure résolvent tous les problèmes signalés dans ce Bulletin et tous les problèmes signalés dans le Bulletin de sécurité Android de janvier 2024.

Correction de la vulnérabilité CVE-2023-21245 :

CVE-2023-21245, Dans showNextSecurityScreenOrFinish de KeyguardSecurityContainerController.java, il existe un moyen possible d’accéder à l’écran de verrouillage lors de la configuration de l’appareil en raison d’une erreur logique dans le code. Cela pourrait conduire à une élévation locale des privilèges sans qu’aucun privilège d’exécution supplémentaire ne soit nécessaire. L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation.


La confidentialité a été définie par l'Organisation internationale de normalisation comme « le fait de s'assurer que l'information n'est accessible qu'à ceux dont l'accès est autorisé », et est une des pierres angulaires de la sécurité de l'information. La confidentialité permet d'empêcher un accès non autorisé à des informations qui présentent un caractère sensible. Les intrusions dans les réseaux d'entreprise qui ne sont pas assez protégées, les négligences des personnes qui exposent des données non chiffrées, les niveaux insuffisants des contrôles d'accès sont autant de situations qui mettent en péril la confidentialité des données. De plus en plus de navigateurs, comme par exemple QWant et surtout Brave, se lancent dans une politique de confidentialité des données de navigation. Nul doute que l'utilisation d'un Réseau Privé Virtuel chiffré (VPN) et l'utilisation de données dans un cloud sécurisé améliorent la confidentialité et la sécurité des échanges. En juin 2023, la société Proton lance son extension de navigateur Proton Pass. Un gestionnaire de mots de passe sécurisé, gratuit et open source.


Une élévation des privilèges est, en informatique, un mécanisme permettant à un utilisateur d'obtenir des privilèges supérieurs à ceux qu'il a normalement. Généralement, un utilisateur va vouloir élever ses privilèges pour devenir administrateur du système, afin d'effectuer des tâches qu'il n'a pas le droit de faire en temps normal. Ce mécanisme est utile pour lancer des processus sensibles, pouvant nécessiter des compétences particulières en administration système : par exemple lors d'une manipulation des partitions d'un disque dur, ou lors du lancement d'un nouveau service. L'administrateur peut reconfigurer le système d'exploitation. Il peut gérer les autorisations d'accès au réseau. Il surveille le système, gère la sécurité et automatise certaines tâches. Toutes ces fonctions présentent un risque pour les systèmes infectés et une atteinte à la politique de sécurité.


Android est un système d'exploitation mobile basé sur le noyau Linux et développé actuellement par Google. Lancé en juin 2007 à la suite du rachat par Google en 2005 de la startup du même nom, le système avait d'abord été conçu pour les smartphones et tablettes tactiles, puis s'est diversifié dans les objets connectés et ordinateurs comme les télévisions (Android TV), les voitures (Android Auto), les ordinateurs (Android-x86) et les smartwatch (Android Wear). Les attaquants recherchent les failles de sécurité Zero Day sur le système Android. L'objectif étant de pouvoir interagir avec le noyau Android pour insérer un exploit et exécuter du code arbitraire à distance.


Les CERT (Computer Emergency Response Teams) sont des centres d'alerte et de réaction aux attaques informatiques, destinés aux entreprises ou aux administrations, mais dont les informations sont généralement accessibles à tous. Les tâches prioritaires d'un CERT sont multiples. La centralisation des demandes d'assistance à la suite des incidents de sécurité sur les réseaux et les systèmes d'informations. Le traitement des alertes et réaction aux attaques informatiques. L'établissement et maintenance d'une base de donnée des vulnérabilités. La Prévention par diffusion d'informations. La coordination éventuelle avec les autres entités.


Bleeping Computer est un site Web couvrant l'actualité technologique et offrant une aide informatique gratuite via ses forums, qui a été créé par Lawrence Abrams en 2004. Avec plus de 700 000 membres enregistrés qui posent des questions et y répondent, BleepingComputer.com est devenu une communauté dynamique et animée de personnes partageant les mêmes idées.

A propos de l'auteur

Retour en haut