Qualcomm publie des informations sur les vulnérabilités des puces ciblées par les attaques

Les vulnérabilités sont les suivantes : CVE-2022-22074 (score CVSS : 8,4), CVE-2022-22075 (score CVSS : 7,8) et CVE-2022-22076 (score CVSS : 7,8). Le groupe d’analyse des menaces de Google et le projet zéro de Google ont révélé en octobre 2023 que ces trois failles, ainsi que la CVE-2022-22071 (score CVSS : 8,4), ont été exploitées dans la nature dans le cadre d’attaques ciblées et limitées.

Un chercheur en sécurité nommé luckyrb, l’équipe de sécurité Android de Google, et les chercheurs Benoît Sevens et Jann Horn du Projet Zéro de Google ont été crédités pour avoir rapporté les vulnérabilités de sécurité, respectivement. On ne sait pas encore comment ces failles ont été exploitées, ni qui est à l’origine des attaques. Cette évolution a toutefois incité l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) à ajouter les quatre bogues à son catalogue de vulnérabilités connues et exploitées (KEV), en invitant les agences fédérales à appliquer les correctifs d’ici au 26 décembre 2023.

Elle fait également suite à l’annonce par Google que les mises à jour de sécurité de décembre 2023 pour Android corrigent 85 failles, y compris un problème critique dans le composant Système identifié comme CVE-2023-40088 qui « pourrait conduire à une exécution de code à distance (proximale/adjacente) sans privilèges d’exécution supplémentaires nécessaires » et sans aucune interaction de l’utilisateur. Inscrivez-vous gratuitement et commencez à recevoir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité. »