Google a publié les mises à jour de sécurité Android de novembre 2021, qui corrigent 18 vulnérabilités.

Parmi les correctifs, il y en a un qui corrige CVE-2021-1048, une vulnérabilité d’escalade locale de privilèges causée par une faiblesse de type use after free, qui, selon Google, fait l'objet d'une exploitation limitée et ciblée. Peu de détails techniques ont été publiés autour de cette faille pour le moment, car les fabricants d'équipements originaux (OEM) travaillent actuellement à la fusion du correctif avec leurs constructions personnalisées, de sorte que la plupart des utilisateurs d'Android sont vulnérables.

Les problèmes les plus graves traités par le correctif de novembre 2021 sont deux bugs critiques d'exécution de code à distance (RCE) du système, désignés par CVE-2021-0918 et CVE-2021-0930. Ces failles permettent aux attaquants d'exécuter du code arbitraire dans le contexte d'un processus privilégié en envoyant une transmission spécialement conçue à l'appareil cible.

Deux autres failles de sécurité critiques corrigées par le correctif de ce mois sont celles de CVE-2021-1924 et CVE-2021-1975, qui ont toutes deux un impact sur les composants Qualcomm.

Le cinquième correctif de faille critique concerne le composant "service à distance" d'Android TV. Il s'agit d'un RCE répertorié sous le nom de CVE-2021-0889. L'exploitation de cette faille permettrait à un attaquant proche de l'appareil d'exécuter du code sans privilèges ni interaction de l'utilisateur.

Comme à chaque fois, nous invitons les utilisateurs d’Android d’appliquer les correctifs dès que possible.