Technologie
Image : Midjourney
Mises à jour de sécurité Android : 46 vulnérabilités corrigées
Ce mois-ci, les mises à jour de sécurité Android corrigent un total de 46 vulnérabilités, parmi lesquelles une faille critique d’exécution de code à distance (RCE) qui a été exploitée lors d’attaques ciblées.
Détails sur la vulnérabilité CVE-2024-36971
La vulnérabilité zero-day, identifiée sous le nom de CVE-2024-36971, est une faiblesse de type « use after free » (UAF) dans la gestion des routes réseau du noyau Linux. Pour être exploitée avec succès, elle nécessite des privilèges d’exécution système, permettant ainsi de modifier le comportement de certaines connexions réseau.
Google a indiqué qu’il existe des « indications que CVE-2024-36971 pourrait être exploitée de manière limitée et ciblée », suggérant que des acteurs malveillants pourraient l’utiliser pour exécuter du code arbitraire sans interaction de l’utilisateur sur des appareils non corrigés.
Découverte et divulgation de la vulnérabilité
Clément Lecigne, chercheur en sécurité au sein du groupe d’analyse des menaces de Google (TAG), est crédité de la découverte et du signalement de cette vulnérabilité zero-day. Bien que Google n’ait pas encore fourni d’informations sur la manière dont cette faille est exploitée ni sur l’identité des acteurs derrière ces attaques, les chercheurs de Google TAG identifient souvent et divulguent des zero-days utilisés dans des attaques de logiciels de surveillance parrainées par l’État, visant des individus de haut profil.
Patches et mises à jour
Selon l’avis de sécurité, »les correctifs du code source pour ces problèmes seront publiés dans le dépôt du projet Android Open Source (AOSP) dans les 48 heures ». Plus tôt cette année, Google avait déjà corrigé une autre vulnérabilité zero-day exploitée dans des attaques : une faille d’élévation de privilèges (EoP) de haute sévérité dans le firmware des Pixel, suivie sous les identifiants CVE-2024-32896 par Google et CVE-2024-29748 par GrapheneOS, qui a découvert et signalé la faille.
Des entreprises d’analyse judiciaire ont utilisé cette vulnérabilité pour déverrouiller des appareils Android sans code PIN et accéder aux données stockées.
Deux ensembles de correctifs pour août
Google a publié deux ensembles de correctifs pour les mises à jour de sécurité d’août, correspondant aux niveaux de correctifs de sécurité 2024-08-01 et 2024-08-05. Le second inclut tous les correctifs de sécurité du premier ensemble, ainsi que des correctifs supplémentaires pour des composants fermés tiers et le noyau, comme une vulnérabilité critique (CVE-2024-23350) dans un composant fermé de Qualcomm.
Variabilité des mises à jour selon les appareils
Il est important de noter que tous les appareils Android ne nécessitent pas nécessairement les correctifs de sécurité correspondant au niveau de patch 2024-08-05. Les fabricants d’appareils peuvent également choisir de donner la priorité à la mise en œuvre du premier niveau de patch pour simplifier le processus de mise à jour. Cela ne signifie pas pour autant qu’il y a un risque accru d’exploitation potentielle.
Délais de mise à jour chez les fabricants
Enfin, il convient de souligner que, bien que les appareils Google Pixel reçoivent immédiatement les mises à jour de sécurité mensuelles après leur publication, d’autres fabricants peuvent nécessiter un certain temps avant de déployer les correctifs. Ce délai est nécessaire pour effectuer des tests supplémentaires des correctifs de sécurité afin d’assurer leur compatibilité avec diverses configurations matérielles.
