Android : la mise à jour de février 2025 corrige une faille zero-day déjà exploitée !
Google a publié les mises à jour de sécurité Android de février 2025, corrigeant 48 vulnérabilités, dont une faille zero-day activement exploitée. Faisons le point.
Parmi les vulnérabilités corrigées, deux failles de sécurité méritent une attention particulière ! Tout d'abord, parlons de la CVE-2024-53104, une faille zero-day liée au pilote USB Video Class du noyau Android permettant une élévation de privilèges. Dans les faits, cette faille permet à un attaquant local authentifié d'élever ses privilèges en exploitant une erreur de calcul de la taille du tampon vidéo, ce qui correspond à la technique "out of bounds writes". Finalement, suite à l'élévation de privilèges, l'attaquant pourrait exécuter du code arbitraire sur l'appareil.
"Il semble que la faille CVE-2024-53104 soit exploitée de manière ciblée et limitée.", peut-on lire sur le site de Google. Aucune information n'est indiquée quant aux cas d'attaques observés.
Outre cette faille zero-day, la mise à jour apporte un correctif pour une vulnérabilité critique dans le composant WLAN de Qualcomm. Cette faille, associée à la référence CVE-2024-45569 et à un score CVSS de 9.8 sur 10, est liée à une corruption de la mémoire dans le firmware. Un attaquant peut l'exploiter à distance pour exécuter du code arbitraire, accéder à la mémoire ou provoquer des plantages, sans interaction de l'utilisateur. Il est à noter que l'exploitation de cette vulnérabilité ne nécessite pas d'interaction de la part de l'utilisateur.
Vous pouvez consulter le site d'Android pour en savoir plus sur ces correctifs.
Déploiement des mises à jour de sécurité Android
En février 2025, Google va publier deux ensembles de correctifs, un premier le 01 février 2025 et un second le 05 février 2025. Le second patch inclut des correctifs de sécurité supplémentaires pour des composants tiers et des composants noyau, qui ne s'appliquant pas à tous les appareils Android. Cela permet aux fabricants de se concentrer sur le premier ensemble de correctifs, déjà disponible, pour le déployer en priorité auprès des utilisateurs.
Les chanceux, ce sont les propriétaires d'appareils Pixel, puisqu'ils reçoivent ces correctifs immédiatement. Pour les autres, il faut attendre que les constructeurs adaptent ces mises à jour selon leurs besoins... En novembre dernier, Google avait déjà corrigé deux failles zero-day (CVE-2024-43047 et CVE-2024-43093), l’une d'elles ayant été exploitée par le gouvernement serbe dans des cyberattaques ciblant des journalistes et activistes.
