Android : Google corrige deux failles zero-day exploitées dans des cyberattaques ciblées !
Dans son patch de sécurité Android pour novembre 2024, Google a corrigé deux failles de sécurité zero-day exploitées dans le cadre de cyberattaques. Quels sont les risques ? Faisons le point.
Le nouveau patch de sécurité de novembre 2024 pour Android publié par Google corrige un ensemble de 51 vulnérabilités, dont 2 failles de sécurité particulièrement dangereuses : CVE-2024-43047 et CVE-2024-43093. L'entreprise américaine évoque une exploitation au sein d'attaques ciblées : "Il semblerait que les éléments suivants fassent l'objet d'une exploitation limitée et ciblée.", peut-on lire dans le bulletin de sécurité. Par précaution, Google n'a pas donné le moindre détail quant aux attaques observées, pourtant bien réelles et confirmées par Amnesty International Security Lab.
La première vulnérabilité, associée à la référence CVE-2024-43047 et reportée par l'équipe Google Project Zero (Seth Jenkins et Conghui Wang), est de type "use-after-free". Elle est présente dans le service Digital Signal Processor (DSP) de Qualcomm. L'exploitation peut mener à une corruption de la mémoire, permettant aux attaquants d'élever leurs privilèges sur l'appareil Android et de le compromettre.
La seconde vulnérabilité, associée à la référence CVE-2024-43093 et présente dans le composant nommé Android Framework, permet, elle aussi, une élévation de privilèges sur l'appareil Android.
Au-delà de ces 2 failles de sécurité, Google a corrigé 49 autres failles, dont une seule classée comme critique : CVE-2024-38408. Elle est également liée à un composant propriétaire de Qualcomm. Des millions d'appareils Android sont affectés par ces problèmes de sécurité puisqu'il y a plusieurs versions d'Android vulnérables : Android 12 à Android 15, qui est la dernière version en date. Certaines vulnérabilités corrigées par Google dans ce nouveau patch affectent uniquement certaines versions d'Android.
Appliquez ce correctif de sécurité quand vous le pourrez. Tout dépend de votre appareil et de la réactivité du fabricant... Si vous utilisez un appareil Google Pixel, la mise à jour devrait être disponible dans les prochains jours.