CVE-2020-11261 est une nouvelle vulnérabilité dangereuse dans les appareils Android. La vulnérabilité affecte les chipsets Qualcomm et leur composant graphique dans un problème appelé «validation d'entrée incorrecte».
CVE-2020-11261: Quelques détails
Si elle est exploitée avec succès, la faille peut entraîner une corruption de la mémoire lorsqu'une application malveillante demande l'accès à la mémoire de l'appareil. Selon Google, la vulnérabilité a été utilisée dans des attaques ciblées.
Il faut mentionner que la vulnérabilité CVE-2020-11261 ne peut être exploitée que localement, car il nécessite un accès local à l'appareil. Cela signifie qu'une attaque n'est possible que si l'acteur menaçant a un accès physique. Un autre scénario de lancement d'attaque utilise l'approche dite du point d'eau.. Cette stratégie nécessite de connaître les sites Web consultés par la victime afin de les infecter avec des logiciels malveillants.
Google n'a fourni aucun détail sur les attaques ciblées, probablement pour empêcher d'autres acteurs de la menace d'exploiter la faille.
Précédentes vulnérabilités de Qualcomm affectant Android
Dans 2020, une grave vulnérabilité Qualcomm affectant Android a également été révélée. Appelé Achille, la vulnérabilité a été définie comme un ensemble de 400 bogues dans les chipsets Qualcomm intégrés. Le cœur des problèmes était une perturbation des fonctions du processeur DSP, qui a provoqué une mauvaise gestion des fonctionnalités les plus importantes de l'appareil Android: exécution de processus, mise en charge, et exécution multimédia.
Les acteurs de la menace pourraient le bug d'Achille dans différentes campagnes de distribution - en créant directement des fichiers malveillants, à l'utilisation de supports de charge utile et de messages électroniques SPAM.
Dans 2019, une chaîne de deux bogues de sécurité (CVE-2015-6639 et CVE-2016-2431) ont été découverts dans le processeur virtuel Secure World Qualcomm, qui pourraient être exploitées pour divulguer des informations financières.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: