Google a publié des mises à jour de sécurité mensuelles pour Android, qui viennent avec des correctifs pour 46 vulnérabilités, ainsi que le correctif pour trois bogues activement exploités.

Google a publié les mises à jour de sécurité mensuelles pour le système d’exploitation Android, qui viennent avec des correctifs pour 46 vulnérabilités, ainsi que le correctif pour trois bogues activement exploités.

« Il y a des indications que les (vulnérabilités) suivantes peuvent être sous exploitation limitée et ciblée – CVE-2023-26083, CVE-2021-29256 et CVE-2023-2136 », lit-on dans le Bulletin de sécurité Android.

Selon Bleeping Computer, CVE-2023-26083 est une faille de fuite de mémoire de gravité moyenne dans le pilote GPU Arm Mali pour les puces Bifrost, Avalon et Valhall qui a été exploitée dans une chaîne d’exploitation de décembre 2022 qui a fourni des logiciels espions aux appareils Samsung.

CVE-2021-29256 est une vulnérabilité critique (CVSS v3.1: 8.8) de divulgation d’informations non privilégiées et d’escalade des privilèges racine qui affecte des versions spécifiques des pilotes de noyau GPU Bifrost et Midgard Arm Mali.

La troisième vulnérabilité, CVE-2023-2136, est de gravité critique avec un score de 9,6 sur 10 car il s’agit d’un bogue de débordement d’entier dans Skia, la bibliothèque graphique 2D multiplateforme open-source de Google qui est également utilisée dans Chrome, où elle a été corrigée en avril, indique le rapport.

De plus, le rapport mentionne que CVE-2023-21250, une vulnérabilité critique dans le composant système d’Android qui affecte les versions 11, 12 et 13 d’Android, est le plus grave des problèmes de sécurité que Google a résolus ce mois-ci.

La mise à jour de sécurité Android de ce mois-ci couvre les versions 11, 12 et 13 d’Android, mais selon l’étendue des vulnérabilités corrigées, elles peuvent affecter les anciennes versions du système d’exploitation qui ne sont plus prises en charge.

Le mois dernier, Google a publié une mise à jour de sécurité pour le navigateur Web Chrome afin de corriger la troisième vulnérabilité zero-day exploitée par les pirates cette année.

« Google est conscient qu’un exploit pour CVE-2023-3079 existe dans la nature », a déclaré Google dans un article de blog.

— IANS