Google a publié les correctifs de sécurité d’Android pour juin 2026. Ces mises à jour traitent 124 failles, dont une vulnérabilité zero-day qui a déjà été exploitée dans des attaques ciblées.
Des assaillants locaux peuvent exploiter cette vulnérabilité, de niveau de gravité élevé, dans le Framework Android. Référencée sous l’identifiant CVE-2025-48595, elle permet l’exécution de code et l’élévation des privilèges sur les appareils fonctionnant avec Android 14 ou une version ultérieure.
La firme a indiqué dans son bulletin de sécurité mensuel que des signes montrent une exploitation limitée et ciblée de cette faille.
Les améliorations apportées aux versions récentes d’Android compliquent l’exploitation de nombreuses failles. L’entreprise conseille à tous les utilisateurs de mettre à jour leur système vers la dernière version disponible.
Google n’a pas encore divulgué de détails techniques sur cette vulnérabilité, ni sur les attaques en cours. Par le passé, des failles similaires ont été utilisées par des logiciels espions commerciaux et par des opérations menées par des États-nations contre des personnalités importantes.
Les correctifs de ce mois corrigent 18 vulnérabilités critiques présentes dans le système, le framework et des composants propriétaires de Qualcomm. Ces failles pourraient être exploitées pour provoquer un déni de service ou élever les privilèges sur des appareils non corrigés.
La plus grave de ces failles, qui se situe dans le framework, pourrait conduire à une élévation de privilèges à distance sans nécessiter d’interaction de l’utilisateur.
Deux lots de correctifs ont été publiés : le niveau de correctif de sécurité 2026-06-01 et le 2026-06-05. Ce second lot intègre tous les correctifs du premier, ainsi que des correctifs pour des sous-composants noyau et tiers qui ne concernent pas tous les appareils Android.
Les appareils Google Pixel reçoivent ces mises à jour immédiatement. Les autres fabricants prennent généralement plus de temps pour les tester et les adapter à leurs configurations matérielles spécifiques.
En décembre dernier, Google avait déjà corrigé deux autres failles zero-day de haute gravité, référencées CVE-2025-48633 et CVE-2025-48572. Une autre faille zero-day dans un composant d’affichage Qualcomm, identifiée comme CVE-2026-21385, avait été corrigée en mars. Toutes étaient marquées comme faisant l’objet d’une exploitation limitée et ciblée.
Le mois dernier, l’entreprise a également révisé ses programmes de récompenses pour les vulnérabilités d’Android et de Chrome. Les primes pour certaines exploits Android peuvent atteindre 1,5 million de dollars, tandis que les récompenses pour les failles plus faciles à trouver avec l’intelligence artificielle ont été revues à la baisse.