Une vulnérabilité de type exécution de code à distance et ne nécessitant aucune interaction de l'utilisateur pour une exploitation… voilà qui est plutôt alarmant. C'est ce qui est corrigé dans le composant système d'Android.
Cette vulnérabilité CVE-2023-40088 fait partie des failles comblées dans le cadre des mises à jour de sécurité du mois de décembre pour Android. Tout en soulignant qu'il s'agit d'un bug de sécurité critique, Google n'entre pas dans les détails à son sujet et n'évoque pas une exploitation active dans des attaques.
Le bulletin de sécurité précise toutefois que la vulnérabilité peut conduire à une exécution de code à distance via une attaque dite proximale. Cela suppose une présence physique relativement proche pour le déclenchement de la vulnérabilité.
Un patch sans doute pas pour tout le monde
" Les partenaires Android sont informés de tous les problèmes au moins un mois avant la publication. Les correctifs de code source pour ces problèmes seront publiés dans le dépôt Android Open Source Project (AOSP) au cours des prochaines 48 heures ", écrit Google.
Le patch proposé pour une correction concerne les appareils équipés d'Android 11, 12, 12L, 13 et 14. Il est à noter que les corrections pour l'ultime mois de cette année vont bien au-delà du seul cas de la vulnérabilité CVE-2023-40088.
La diffusion des correctifs dépendra de l'engagement des fabricants d'appareils à suivre un rythme mensuel, à plus ou moins long terme. Une situation disparate qui a tout de même connu une nette amélioration au fil des années.