Bulletins

Le navigateur F-Secure SAFE vulnérable aux attaques USSD

bs1.jpg

Une vulnérabilité d’une gravité moyenne a été découverte dans le navigateur F-Secure SAFE pour Android qui pourrait permettre à un acteur de menace de provoquer une atteinte à l’intégrité et la confidentialité des données utilisateurs.

Suivie sous le nom de CVE-2021-44751 avec un score de 4.3 sur l’échelle CVSS, cette faille est causée par un site web malveillant contenant du code USSD (Unstructured Supplementary Service Data) sont des messages de commande en temps réel envoyés au réseau. Ces messages sont codés en JavaScript ou iFrame peut lancer l'application de numérotation du navigateur F-Secure, qui peut ensuite être exploitée par un attaquant pour envoyer des messages USSD indésirables ou effectuer des appels non désirés. Dans la plupart des systèmes d'exploitation Android modernes, l'application de numérotation nécessite une interaction avec l'utilisateur, mais certains systèmes d'exploitation Android plus anciens peuvent ne pas en avoir besoin.

Les systèmes affectés par ce bogue sont toutes les versions du navigateur F-Secure SAFE pour Android versions 18.5 et antérieures.

Un correctif a été publié dans le canal de mise à jour automatique depuis le 22 mars 2022. Ce qui signifie qu’aucune action de la part de l’utilisateur n’est requise.