Des millions d’appareils Android sont exposés au risque de cyberattaques en raison de la lenteur et de la lourdeur des correctifs (s’ouvre dans un nouvel onglet) processus qui tourmente la plate-forme mobile décentralisée.
Les chercheurs en cybersécurité de l’équipe Project Zero de Google ont découvert un total de cinq vulnérabilités affectant le pilote de GPU Arm Mali.
Les failles ont été regroupées sous deux identifiants – CVE-2022-33917 et CVE-202236449, et elles offrent aux acteurs de la menace une myriade d’options, allant de l’accès aux sections de mémoire libres à l’écriture en dehors des limites de la mémoire tampon. Ils ont tous obtenu un score de gravité « moyen ».
Plus d’OEM, des correctifs plus lents
Les failles ont depuis été corrigées, mais les fabricants de matériel n’ont pas encore appliqué ces correctifs sur leurs terminaux. (s’ouvre dans un nouvel onglet). Contrairement à Apple, qui est le seul créateur de matériel et de logiciels pour l’écosystème mobile iPhone, Google n’est pas la seule entreprise à créer des logiciels et du matériel pour Android.
Outre Google avec son téléphone Pixel, il existe un nombre relativement important de fabricants de smartphones qui fabriquent des appareils fonctionnant sous Android, tels que Samsung, LG, Oppo et bien d’autres. Toutes ces entreprises ont leurs propres versions modifiées d’Android et leur propre approche du matériel. Cela dit, lorsqu’une vulnérabilité est découverte, chaque fabricant d’équipement d’origine (OEM) doit appliquer le correctif à ses propres appareils. Cela peut prendre du temps, car ces correctifs peuvent parfois entrer en conflit avec les pilotes de l’appareil ou d’autres composants.
Et c’est exactement le problème ici.
Les failles affectent les pilotes de GPU Arm’s Mali nommés Valhall, Bifrost, Midgard, et affectent une longue liste d’appareils, y compris le Pixel 7, RealMe GT, Xiaomi 12 Pro, OnePlus 10R, Samsung Galaxy S10, Huawei P40 Pro et bien d’autres. . La liste complète est à retrouver ici (s’ouvre dans un nouvel onglet).
À l’heure actuelle, les utilisateurs ne peuvent rien faire d’autre que d’attendre que leurs fabricants respectifs appliquent le correctif, car il devrait être livré aux OEM dans quelques semaines.
Via : BleepingComputer (s’ouvre dans un nouvel onglet)