Il existe 37 vulnérabilités que Google a corrigées dans son système mobile et dans les différents composants à l’occasion de la sortie du Bulletin de sécurité Android de juin 2024.
Trois des failles de sécurité ont un niveau de gravité critique et ont toutes été identifiées dans les composants fermés de Qualcomm. Pour tous les autres, l’indice de gravité est élevé.
L’exploitation des vulnérabilités pourrait permettre de mener des attaques des types suivants :
- exécution de code arbitraire (Arbitrary Code Execution) ;
- divulgation d’informations (divulgation d’informations);
- élévation des privilèges (Privilege Escalation).
Selon le bulletin publié par le CSIRT Italie, l’impact des vulnérabilités est moyen/jaune (64,61/100).
Comme d’habitude, le bulletin de sécurité Android de juin 2024 a été divisé en deux packages de mises à jour cumulatives : le premier, catalogué comme Niveau du correctif de sécurité du 01/06/2024concerne les principaux composants du système d’exploitation Android 12, 12L, 13 et 14 disposant de correctifs de sécurité antérieurs à juin 2024.
Le second, catalogué comme Niveau du correctif de sécurité du 05/06/2024aborde et résout les problèmes de sécurité identifiés dans les composants provenant de fournisseurs fermés.
De plus amples détails sur les mises à jour du Bulletin de sécurité Android de juin 2024 sont disponibles sur la page dédiée.
Les vulnérabilités du premier niveau de patch de sécurité
Avec le premier package de correctifs contenu dans le bulletin de sécurité Android de juin 2024, identifié comme Niveau du correctif de sécurité du 01/06/202419 vulnérabilités ont été corrigées, regroupées selon le composant système qu’elles affectent.
À cela s’ajoutent trois autres vulnérabilités corrigées dans les composants du système Google Play, pour un total de 22 problèmes de sécurité résolus.
Les douze premières vulnérabilités ont été identifiées dans le composant Cadres. Les plus graves pourraient conduire à une élévation locale des privilèges sans nécessiter de privilèges d’exécution supplémentaires.
Tous classés avec un indice de gravité élevé, il en existe dix de type EoP (Elevation of Privilege), un de type ID (Information Disclosure) et le dernier de type DoS (Denial of Service).
Sept autres vulnérabilités ont été identifiées dans le composant Système. Encore une fois, ils ont tous un indice de gravité élevé.
La vulnérabilité la plus grave de cette section pourrait conduire à une élévation locale des privilèges sans avoir besoin de privilèges d’exécution supplémentaires. Dans ce cas, toutes les vulnérabilités identifiées sont de type EoP (Elevation of Privilege).
Enfin, comme nous le disions, dans le premier package de correctifs cumulatifs du Bulletin de sécurité Android du mois de juin 2024, il y a également trois mises à jour pour le système Google Play : suivies comme CVE-2024-31323, CVE-2024-31311 et CVE. -2023- 21114, affecte respectivement les composants Healthfitness, Statsd et WiFi.
Les vulnérabilités du deuxième niveau de patch de sécurité
Au lieu de cela, 18 vulnérabilités ont été corrigées à l’occasion de la publication du Bulletin de sécurité Android de juin 2024 avec le deuxième package de correctifs, identifié comme Niveau du correctif de sécurité du 05/06/2024.
La première mise à jour concerne le Kernel et corrige une vulnérabilité EoP (Elevation of Privilege) classée de haute gravité : CVE-2024-26926.
S’il est exploité, cela pourrait conduire à une élévation locale des privilèges dans le noyau sans avoir besoin de privilèges d’exécution supplémentaires.
Tous les correctifs concernent des composants sources fermés provenant de tiers : Arm, Imagination Technologies, MediaTek et Qualcomm.
En conséquence, les détails techniques et l’évaluation de la gravité de ces vulnérabilités sont fournis directement par les fabricants de composants respectifs dans les bulletins de sécurité correspondants.
Voici comment mettre à jour les appareils Android
Google a déjà publié tous les correctifs de sécurité Android à ses partenaires un mois avant la publication du bulletin de sécurité, en les publiant dans le référentiel Android Open Source Project (AOSP).
Il est important que les mises à jour soient installées le plus rapidement possible : certaines ou toutes, selon l’appareil, peuvent être appliquées automatiquement via les services Google Play ; d’autres, cependant, peuvent vous être envoyés sous la forme d’une mise à jour de la part de votre opérateur ou du fabricant de votre appareil, et certains peuvent ne pas être nécessaires.
Les appareils Android moins chers et moins mis à jour risquent de ne jamais recevoir de mises à jour.
Dans tous les cas, notamment lorsque les appareils sont utilisés dans des environnements d’entreprise et de production, il est conseillé d’installer une bonne solution de sécurité (encore meilleure si elle est intégrée à n’importe quel client de sécurité). Gestion des appareils mobiles pour le contrôle à distance et centralisé des appareils utilisés pour le travail intelligent) capable de garantir un haut niveau de protection des données et des informations confidentielles stockées en mémoire.
Pour mettre à jour un appareil Android, allez simplement sur Paramètres/Système/Mise à jour du système et sélectionnez Vérifiez les mises à jour. Alternativement, vous pouvez accéder au menu Paramètres/Sécurité et confidentialité/Mises à jour et sélectionnez Mise à jour de sécurité.
Il convient de noter que si l’appareil utilise toujours Android 10 ou une version antérieure, cela signifie qu’il a atteint la fin de vie (EoL) à partir de septembre 2022 (pour la version 10) et qu’il ne recevra pas les correctifs pour les défauts ci-dessus.
Cependant, certaines mises à jour importantes peuvent encore être distribuées via les mises à jour du système Google Play : pour les télécharger et les installer, on accède au menu Paramètres/Sécurité et confidentialité/Mises à jour et sélectionnez l’élément Mise à jour du système Google Play.
Combien de temps recevez-vous les mises à jour Android
Les politiques de mise à jour de Google exigent que les appareils reçoivent des mises à jour pour la version d’Android installée pendant au moins trois ans à compter de la date d’introduction sur le Google Store, tandis que les mises à jour de sécurité seront garanties pendant trois ans à compter de la date d’introduction dans la version américaine de Google. Magasin .
Cependant, en ce qui concerne la rapidité de sortie, si les appareils ont été achetés directement sur le Google Store, les mises à jour arriveront dans quelques semaines, tandis que pour les modèles achetés auprès de revendeurs tiers, cela peut prendre plus de temps, comme indiqué sur le site d’assistance par Google.
