Quatre vuln\u00e9rabilit\u00e9s de gravit\u00e9 \u00e9lev\u00e9e ont \u00e9t\u00e9 divulgu\u00e9es dans un cadre utilis\u00e9 par les applications syst\u00e8me Android pr\u00e9install\u00e9es avec des millions de t\u00e9l\u00e9chargements.<\/p>\n
Les probl\u00e8mes, d\u00e9sormais r\u00e9solus par son d\u00e9veloppeur isra\u00e9lien MCE Systems, auraient potentiellement permis aux acteurs de la menace d’organiser des attaques \u00e0 distance et locales ou d’\u00eatre abus\u00e9s comme vecteurs pour obtenir des informations sensibles en profitant de leurs privil\u00e8ges syst\u00e8me \u00e9tendus.<\/p>\n
“Comme c’est le cas avec de nombreuses applications pr\u00e9install\u00e9es ou par d\u00e9faut fournies avec la plupart des appareils Android de nos jours, certaines des applications concern\u00e9es ne peuvent pas \u00eatre enti\u00e8rement d\u00e9sinstall\u00e9es ou d\u00e9sactiv\u00e9es sans obtenir un acc\u00e8s root \u00e0 l’appareil”, a d\u00e9clar\u00e9 l’\u00e9quipe de recherche Microsoft 365 Defender. a dit<\/a> dans un rapport publi\u00e9 vendredi.<\/p>\n Les faiblesses, qui vont de l’injection de commandes \u00e0 l’\u00e9l\u00e9vation locale des privil\u00e8ges, ont re\u00e7u les identifiants CVE-2021-42598, CVE-2021-42599, CVE-2021-42600 et CVE-2021-42601, avec des scores CVSS compris entre 7,0 et 8.9.<\/p>\n Les vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes et signal\u00e9es en septembre 2021 et rien ne prouve que les lacunes soient exploit\u00e9es \u00e0 l’\u00e9tat sauvage.<\/p>\n Microsoft n’a pas divulgu\u00e9 la liste compl\u00e8te des applications qui utilisent le framework vuln\u00e9rable en question, qui est con\u00e7u pour offrir des m\u00e9canismes d’autodiagnostic pour identifier et r\u00e9soudre les probl\u00e8mes affectant un appareil Android.<\/p>\n Cela signifiait \u00e9galement que le cadre disposait de larges autorisations d’acc\u00e8s, y compris celles de l’audio, de la cam\u00e9ra, de l’alimentation, de l’emplacement, des donn\u00e9es de capteur et du stockage, pour ex\u00e9cuter ses fonctions. Coupl\u00e9 aux probl\u00e8mes identifi\u00e9s dans le service, Microsoft a d\u00e9clar\u00e9 qu’il pourrait permettre \u00e0 un attaquant d’implanter des portes d\u00e9rob\u00e9es persistantes et de prendre le contr\u00f4le.<\/p>\n![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Fronton-un-botnet-IoT-russe-concu-pour-mener-des-campagnes.png\")
<\/a><\/div>\n\n\n
\n ![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1653730939_334_Microsoft-trouve-des-bogues-critiques-dans-les-applications-preinstallees-sur.jpg\")
<\/td>\n<\/tr>\n\n Code d’exploitation de preuve de concept (POC) d’injection de commande<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n \n\n
\n ![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/1653730939_478_Microsoft-trouve-des-bogues-critiques-dans-les-applications-preinstallees-sur.jpg\")
<\/td>\n<\/tr>\n\n Injecter un code JavaScript similaire dans la WebView<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n
![\"La](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/04\/1650021915_454_Haskers-Gang-donne-gratuitement-le-logiciel-malveillant-ZingoStealer-a-dautres.jpg\")
<\/a><\/div>\n