Google a publié des correctifs pour 50 vulnérabilités de sécurité affectant ses appareils Pixel et a averti que l’une d’entre elles avait déjà été exploitée dans des attaques ciblées en tant que zero-day.

Répertoriée sous le numéro CVE-2024-32896, cette faille d’élévation de privilèges (EoP) dans le micrologiciel Pixel a été classée comme un problème de sécurité de grande gravité.

« Il y a des indications que CVE-2024-32896 pourrait faire l’objet d’une exploitation limitée et ciblée », a averti la société ce mardi.

« Tous les appareils Google pris en charge recevront une mise à jour au niveau du correctif 2024-06-05. Nous encourageons tous les clients à accepter ces mises à jour sur leurs appareils. »

Google a identifié 44 autres bogues de sécurité dans le bulletin de mise à jour Pixel de ce mois-ci, dont sept sont des vulnérabilités d’escalade de privilèges considérées comme critiques et ont un impact sur divers sous-composants.

Bien que les appareils Pixel fonctionnent également sous Android, ils reçoivent des mises à jour de sécurité et de correction de bogues distinctes des correctifs mensuels standard distribués à tous les OEM Android en raison de leurs fonctionnalités et capacités exclusives et de la plate-forme matérielle unique directement contrôlée par Google.

Vous pouvez trouver plus de détails sur les mises à jour de juin 2024 pour le Pixel dans le bulletin de sécurité dédié à la propre gamme de smartphones de Google.

Pour appliquer la mise à jour de sécurité, les utilisateurs de Pixel doivent accéder à Paramètres > Sécurité et confidentialité > Système et mises à jour > Mise à jour de sécurité, appuyez sur Installer et redémarrez l’appareil pour terminer le processus de mise à jour.

Plus tôt ce mois-ci, Arm a mis en garde contre une vulnérabilité liée à la mémoire (CVE-2024-4610) dans les pilotes de noyau GPU Bifrost et Valhall exploités à l’état sauvage.

Cette vulnérabilité d’utilisation après libération (UAF) affecte toutes les versions des pilotes Bifrost et Valhall de r34p0 à r40p0, et elle peut être exploitée dans des attaques conduisant à la divulgation d’informations et à l’exécution de code arbitraire.

En avril, Google a corrigé deux autres jours zéro Pixel exploités par des cabinets médico-légaux pour déverrouiller des téléphones sans code PIN et accéder aux données. CVE-2024-29745 a été étiqueté comme un bogue de divulgation d’informations de gravité élevée dans le chargeur de démarrage Pixel, tandis que CVE-2024-29748 est un bogue d’escalade de privilèges de gravité élevée dans le micrologiciel Pixel.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *