Google a lancé une mise à jour essentielle pour Android, corrigeant une vulnérabilité de sécurité majeure, classée comme test. Cette mise à jour, dès à présent disponible, vise à protéger les utilisateurs contre une faille potentiellement exploitée par des attaquants. Il est impératif d’effectuer cette mise à jour sans délai.
Google a récemment lancé la mise à jour d’Android de février 2025, qui est cruciale en raison de la correction d’une vulnérabilité de jour zéro très grave, identifiée sous le numéro CVE-2024-53104. Cette mise à jour traite environ 48 failles de sécurité, dont 24 sont jugées tests ou élevées, y compris cette faille particulièrement dangereuse.
Cette vulnérabilité de jour zéro présente un problème d’élévation de privilèges (EoP) sévère dans le contrôleur USB Video Class situé dans le Core Linux. En exploitant cette faille, qui utilise un traitement incorrect de types de frames indéfinis dans uvc_parse_format, un attaquant est capable d’écrire en dehors des limites et d’accéder localement à l’appareil, augmentant ainsi ses privilèges.
La vulnérabilité a été détectée grâce au programme de sécurité d’Android et a reçu une note de 7,8, la plaçant parmi les problèmes les plus préoccupants. Google a même confirmé des attaques ciblées exploitant cette faille, bien qu’aucun détail supplémentaire n’ait été fourni sur les permissions obtenues ou les informations manipulées par les pirates.
Google a réglé une grave faille de sécurité
Cette vulnérabilité de jour zéro, identifiée par le numéro CVE-2024-53104 et ayant une note de 7,8 (gravité élevée), permettrait à un attaquant d’accéder localement à un dispositif en augmentant ses privilèges. Parmi les autres corrections apportées par Google, on trouve plusieurs vulnérabilités d’élévation de privilèges moins graves (CVE-2024-49721, CVE-2024-49743, CVE-2024-49746).
De plus, trois autres vulnérabilités graves permettraient à un hacker d’exécuter du code arbitraire sur des versions d’Android 12 à Android 15 (CVE-2025-0091, CVE-2025-0095, CVE-2025-0096). Bien entendu, des correctifs et plusieurs patchs ont également été mis en place pour les composants de Qualcomm, ainsi que pour MediaTek et Unisoc, afin de résoudre des problèmes relatifs au module WLAN, à certaines parties du modem ou au bootloader.
Comme toujours, Google informe tous les constructeurs et partenaires constructeurs Android afin que ces correctifs soient distribués le plus rapidement possible. L’objectif est de toucher le plus grand nombre possible de dispositifs, et une fois que la mise à jour sera disponible en février, il sera important d’effectuer les mises à jour des smartphones pour éviter des problèmes non désirés.