Google a corrigé deux failles Android Zero Day activement exploitées dans le cadre de ses mises à jour de sécurité de novembre, corrigeant un total de 51 vulnérabilités.
Suivis sous les noms CVE-2024-43047 et CVE-2024-43093, les deux problèmes sont marqués comme exploités dans le cadre d’attaques limitées et ciblées.
« Il y a des indications selon lesquelles les éléments suivants pourraient faire l’objet d’une exploitation limitée et ciblée », déclare L’avis de Google.
La faille CVE-2024-43047 est un problème d’utilisation après libération de haute gravité dans les composants Qualcomm à source fermée au sein du noyau Android qui élève les privilèges.
La faille a été révélée pour la première fois début octobre 2024 par Qualcomm comme un problème dans son service Digital Signal Processor (DSP).
CVE-2024-43093 est également une faille d’élévation de privilèges de haute gravité, affectant cette fois le composant Android Framework et les mises à jour du système Google Play, en particulier dans l’interface utilisateur des documents.
Google n’a pas révélé qui a découvert la vulnérabilité CVE-2024-43093.
Bien que Google n’ait partagé aucun détail sur la façon dont les vulnérabilités ont été exploitées, comme les chercheurs d’Amnesty International ont découvert le CVE-2024-43047, cela pourrait indiquer que la faille a été utilisée dans des attaques ciblées de logiciels espions.
Sur les 49 failles restantes corrigées cette fois, une seule, CVE-2024-38408, est classée comme critique, impactant également les composants propriétaires de Qualcomm.
Les problèmes de sécurité résolus ce mois-ci impactent les versions Android entre 12 et 15, certains étant limités à des versions spécifiques du système d’exploitation mobile.
Google publie deux niveaux de correctifs chaque mois, dans ce cas, le 1er novembre (niveau de correctif 2024-11-01) et le 5 novembre (niveau de correctif 2024-11-05).
Le premier niveau corrige les principales vulnérabilités d’Android, avec 17 problèmes cette fois, tandis que le deuxième niveau de correctif englobe celles-ci ainsi que les correctifs spécifiques au fournisseur (Qualcomm, MediaTek, etc.), comptant 34 correctifs supplémentaires ce mois-ci.
Pour appliquer la dernière mise à jour, rendez-vous sur Paramètres > Système > Mises à jour logicielles > Mise à jour du système. Alternativement, allez à Paramètres > Sécurité et confidentialité > Système et mises à jour > Mise à jour de sécurité. Un redémarrage sera nécessaire pour appliquer la mise à jour.
Android 11 et versions antérieures ne sont plus pris en charge, mais peuvent recevoir des mises à jour de sécurité pour des problèmes critiques liés aux failles activement exploitées via Mises à jour du système Google Playmême si ce n’est pas garanti.
La meilleure solution pour les appareils exécutant encore ces anciennes versions devrait être soit de les remplacer par des modèles plus récents, soit d’utiliser une distribution Android tierce intégrant les derniers correctifs de sécurité.