Google a publié son bulletin de sécurité Android de décembre 2023. Dans ce bulletin, nous apprenons l'existence d'une vulnérabilié critique de type 'zero-click', ce qui signifie que la vulnérabilité peut être exploitée par un attaquant sans que le propriétaire  de l'appareil attaqué fasse quoi que ce soit.

Le plus grave de ces problèmes est une vulnérabilité de sécurité critique dans le composant Système qui pourrait conduire à l'exécution de code à distance (proximal/adjacent) sans privilèges d'exécution supplémentaires nécessaires. L’interaction de l’utilisateur n’est pas nécessaire pour l’exploitation. L'évaluation de la gravité est basée sur l'effet que l'exploitation de la vulnérabilité pourrait avoir sur un appareil affecté, en supposant que les atténuations de la plate-forme et du service soient désactivées à des fins de développement ou si elles sont contournées avec succès, écrit Google.

Cette vulnérabiltié est estampillée CVE-2023-40088. Le bulletin de sécurité correspondant nous apprend que les systèmes Android 11 à 14 sont concernés. Une attaque réussie peut aboutir à une exécution de code arbitraire à distance (autrement dit l'attaquant peut potentiellement prendre le contrôle de l'appareil,) ou à un déni de service à distance.

Dans son bulletin de sécurité, Google indique fièrement que la faille a été colmatée. Fort bien. La question est maintenant de savoir, en raison de la fragmentation de l'écosystème Android, quand le correctif arrivera sur les appareils des utilisateurs. S'il arrive un jour…