Mises à jour de sécurité Android ce mois-ci correctif 46 vulnérabilités, y compris une exécution de code à distance (RCE) de haute gravité exploitée dans des attaques ciblées.
Le jour zéro, suivi comme CVE-2024-36971, est une faiblesse use after free (UAF) dans la gestion des routes réseau du noyau Linux. Il nécessite des privilèges d’exécution du système pour une exploitation réussie et permet de modifier le comportement de certaines connexions réseau.
Google indique qu ‘ »il y a des indications que CVE-2024-36971 pourrait faire l’objet d’une exploitation limitée et ciblée », les acteurs de la menace exploitant probablement pour obtenir l’exécution de code arbitraire sans interaction de l’utilisateur sur des appareils non corrigés.
Clément Lecigne, chercheur en sécurité du Groupe d’analyse des menaces (TAG) de Google, a été identifié comme celui qui a découvert et signalé cette vulnérabilité zero-day.
Même si Google n’a pas encore fourni de détails sur la manière dont la faille est exploitée et quel acteur de la menace est à l’origine des attaques, les chercheurs en sécurité des balises Google identifient et divulguent fréquemment les jours zéro utilisés dans les attaques de logiciels de surveillance parrainées par l’État pour cibler des personnes de haut niveau.
« Les correctifs de code source pour ces problèmes seront publiés dans le référentiel Android Open Source Project (AOSP)dans les prochaines 48 heures », explique l’avis.
Plus tôt cette année, Google a corrigé un autre jour zéro exploité dans des attaques: une faille d’élévation de privilèges (EoP) de gravité élevée dans le micrologiciel Pixel, suivie comme CVE-2024-32896 par Google et CVE-2024-29748 par GrapheneOS (qui a trouvé et signalé la faille).
Les entreprises médico-légales ont exploité cette vulnérabilité pour déverrouiller les appareils Android sans code PIN et accéder aux données stockées.
Google a publié deux ensembles de correctifs pour les mises à jour de sécurité d’août, les niveaux de correctif de sécurité 2024-08-01 et 2024-08-05. Ce dernier inclut tous les correctifs de sécurité du premier ensemble et des correctifs supplémentaires pour les composants tiers à source fermée et du noyau, comme une vulnérabilité critique (CVE-2024-23350) dans un composant à source fermée Qualcomm.
Notamment, tous les appareils Android peuvent ne pas avoir besoin de vulnérabilités de sécurité qui s’appliquent au niveau de correctif du 2024-08-05. Les fournisseurs d’appareils peuvent également donner la priorité au déploiement du niveau de correctif initial pour rationaliser le processus de mise à jour. Cependant, cela n’indique pas nécessairement un risque accru d’exploitation potentielle.
Il est important de noter que même si les appareils Google Pixel reçoivent des mises à jour de sécurité mensuelles immédiatement après leur publication, d’autres fabricants peuvent avoir besoin d’un certain temps avant de déployer les correctifs. Le délai est nécessaire pour des tests supplémentaires des correctifs de sécurité afin d’assurer la compatibilité avec diverses configurations matérielles.