Google a déployé des correctifs de sécurité mensuels pour Android afin de corriger un certain nombre de failles, notamment un bug zero-day qui, selon lui, pourrait avoir été exploité dans la nature.
Suivi comme CVE-2023-35674la vulnérabilité de haute gravité est décrite comme un cas d’élévation de privilèges impactant le Cadre Android.
« Il y a des indications selon lesquelles CVE-2023-35674 pourrait faire l’objet d’une exploitation limitée et ciblée », a déclaré la société. dit dans son bulletin de sécurité Android de septembre 2023 sans entrer dans les détails supplémentaires.
La mise à jour corrige également trois autres failles d’élévation de privilèges dans Framework, le géant de la recherche notant que le plus grave de ces problèmes « pourrait conduire à une élévation locale de privilèges sans privilèges d’exécution supplémentaires nécessaires » sans aucune interaction de l’utilisateur.
Bien trop vulnérable : découvrir l’état de la surface d’attaque d’identité
MFA atteinte ? PAM ? Protection du compte de service ? Découvrez à quel point votre organisation est réellement équipée contre les menaces d’identité
Google a déclaré avoir en outre corrigé une vulnérabilité de sécurité critique dans le composant système qui pourrait conduire à l’exécution de code à distance sans nécessiter d’interaction de la part de la victime.
« L’évaluation de la gravité est basée sur l’effet que l’exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les mesures d’atténuation de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès », ajoute-t-il.
Au total, Google a corrigé 14 failles dans le module Système et deux lacunes dans le composant MediaProvider, cette dernière étant livrée sous forme de mise à jour du système Google Play.