Tl;dr
- 44 vulnérabilités corrigées dans le Bulletin de Sécurité Android de mars 2025.
- Deux vulnérabilités de haute gravité activement exploitées ont été corrigées.
- Deux niveaux de patchs de sécurité ont été publiés pour corriger ces vulnérabilités.
Google corrige les vulnérabilités de sécurité sur Android
Dans son Bulletin de Sécurité Android de mars 2025, Google a annoncé la correction de 44 vulnérabilités, dont deux de haute gravité activement exploitées. Il s’agit des vulnérabilités CVE-2024-43093 et CVE-2024-50302, qui ont fait l’objet d’une « exploitation ciblée limitée ». Pour y répondre, Google a publié deux niveaux de patchs de sécurité.
Flexibilité et réactivité
Les deux niveaux de patchs de sécurité, 2025-03-01 et 2025-03-05, ont pour but d’offrir plus de flexibilité et de réactivité dans la correction d’un ensemble de vulnérabilités similaires sur tous les appareils Android.
Deux vulnérabilités de haute gravité
Les deux vulnérabilités de haute gravité sont des failles d’escalade de privilèges. La première, CVE-2024-43092, est une faille dans le composant Framework qui pourrait permettre un accès non autorisé dans des répertoires ou sous-répertoires. La seconde, CVE-2024-50302, est une faille dans le composant HID USB du noyau Linux qui pourrait permettre à un attaquant local de fuir vers la mémoire du noyau non initialisée grâce à des rapports HID spécialement conçus.
Exploitations actives des vulnérabilités
La première vulnérabilité, CVE-2024-43092, avait déjà été signalée par Google comme étant activement exploitée dans une alerte de novembre 2024. La seconde, CVE-2024-50302, a été utilisée en décembre 2024 dans une exploitation zero-day pour pirater le téléphone Android d’un jeune activiste serbe. Cette exploitation a utilisé trois autres vulnérabilités pour obtenir des privilèges élevés et déployer un logiciel espion Android nommé NoviSpy.
Il est recommandé aux utilisateurs d’Android de mettre à jour leur appareil dès que possible pour se protéger contre ces vulnérabilités.
