Les mises à jour de sécurité Android de février 2025 corrigent 48 vulnérabilités, y compris une vulnérabilité du noyau zero-day qui a été exploitée dans la nature.
Ce jour zéro de gravité élevée (suivi comme CVE-2024-53104) est une faille de sécurité d’escalade de privilèges dans le pilote de classe vidéo USB du noyau Android qui permet aux acteurs de la menace locaux authentifiés d’élever les privilèges dans les attaques de faible complexité.
Le problème se produit car le pilote n’analyse pas avec précision les trames de type UVC_VS_UNDEFINED dans la fonction uvc_parse_format. En conséquence, la taille de la mémoire tampon de trame est mal calculée, ce qui entraîne des écritures potentielles hors limites qui peuvent être exploitées dans l’exécution de code arbitraire ou des attaques par déni de service.
En plus de ce bogue zero-day activement exploité, les mises à jour de sécurité Android de février 2025 corrigent également une faille de sécurité critique dans le composant WLAN de Qualcomm.
Qualcomm décrit cette faille critique (CVE-2024-45569) comme un problème de corruption de la mémoire du micrologiciel causé par une Validation incorrecte de la faiblesse de l’index de matrice dans la communication hôte WLAN lors de l’analyse de l’IE ML en raison d’un contenu de trame non valide.
CVE-2024-45569 peut être exploité par des attaquants distants pour potentiellement exécuter du code ou des commandes arbitraires, lire ou modifier la mémoire et déclencher des plantages dans des attaques de faible complexité qui ne nécessitent ni privilèges ni interaction de l’utilisateur.
Niveaux de correctifs de sécurité Android
Google a publié deux ensembles de correctifs pour février 2025, les niveaux de correctifs de sécurité 2025-02-01 et 2025-02-05. Ce dernier inclut tous les correctifs du premier lot et des correctifs supplémentaires pour les éléments tiers et du noyau à source fermée, qui peuvent ne pas s’appliquer à tous les appareils Android.
Les fournisseurs peuvent donner la priorité au jeu de correctifs précédent pour des mises à jour plus rapides, ce qui n’indique pas nécessairement un risque d’exploitation accru.
Les appareils Google Pixel recevront des mises à jour immédiatement, tandis que les autres fabricants mettent souvent plus de temps à tester et à affiner les correctifs de sécurité pour diverses configurations matérielles.
En novembre, Google a corrigé deux jours zéro Android plus activement exploités (CVE-2024-43047 et CVE-2024-43093), également marqués comme exploités dans des attaques ciblées limitées.
CVE-2024-43047 a été marqué pour la première fois comme activement exploité par Google Project Zero en octobre 2024. Le gouvernement serbe l’a également exploité dans des attaques de logiciels espions NoviSpy pour compromettre les appareils Android des militants, des journalistes et des manifestants.