Google a corrigé deux failles Android zero-day activement exploitées dans le cadre de ses mises à jour de sécurité de novembre, corrigeant un total de 51 vulnérabilités.
Suivis sous les numéros CVE-2024-43047 et CVE-2024-43093, les deux problèmes sont marqués comme exploités dans des attaques ciblées limitées.
« Il y a des indications que ce qui suit pourrait faire l’objet d’une exploitation limitée et ciblée », indique l’avis de Google.
La faille CVE-2024-43047 est un problème d’utilisation après libération de gravité élevée dans les composants Qualcomm à source fermée du noyau Android qui élève les privilèges.
La faille a été révélée pour la première fois début octobre 2024 par Qualcomm en tant que problème dans son service de processeur de signal numérique (DSP).
CVE-2024-43093 est également une faille d’élévation de privilèges de gravité élevée, affectant cette fois le composant Android Framework et les mises à jour du système Google Play, en particulier dans l’interface utilisateur des documents.
Google n’a pas révélé qui avait découvert la vulnérabilité CVE-2024-43093.
Bien que Google n’ait partagé aucun détail sur la manière dont les vulnérabilités ont été exploitées, lorsque des chercheurs d’Amnesty International ont découvert CVE-2024-43047, cela pourrait indiquer que la faille a été utilisée dans des attaques ciblées de logiciels espions.
Sur les 49 failles restantes corrigées cette fois, une seule, CVE-2024-38408, est classée comme critique, affectant également les composants propriétaires de Qualcomm.
Les problèmes de sécurité résolus ce mois-ci ont un impact sur les versions Android entre 12 et 15, certaines étant limitées à des versions spécifiques du système d’exploitation mobile.
Google publie deux niveaux de correctif chaque mois, dans ce cas, le 1er novembre (Niveau de correctif du 2024-11-01) et le 5 novembre (Niveau de correctif du 2024-11-05).
Le premier niveau aborde les principales vulnérabilités Android, avec 17 problèmes cette fois, tandis que le deuxième niveau de correctif englobe celles-ci ainsi que les correctifs spécifiques au fournisseur (Qualcomm, MediaTek, etc.), en comptant 34 correctifs supplémentaires ce mois-ci.
Pour appliquer la dernière mise à jour, accédez à Paramètres > Système > Mises à jour logicielles > Mise à jour du système. Vous pouvez également accéder à Paramètres > Sécurité et confidentialité > Système et mises à jour > Mise à jour de sécurité. Un redémarrage sera nécessaire pour appliquer la mise à jour.
Android 11 et versions antérieures ne sont plus pris en charge, mais peuvent recevoir des mises à jour de sécurité pour les problèmes critiques liés aux failles activement exploitées via les mises à jour du système Google Play, bien que cela ne soit pas garanti.
La meilleure solution pour les appareils exécutant encore ces anciennes versions devrait être soit de les remplacer par des modèles plus récents, soit d’utiliser une distribution Android tierce intégrant les derniers correctifs de sécurité.