Google corrige une vulnérabilité zero-day du noyau Android utilisée activement dans des attaques

Google a publié lundi ses correctifs de sécurité de février 2025, qui traitent 48 vulnérabilités, y compris une vulnérabilité zero-day critique affectant le noyau Android qui était activement exploitée dans des attaques.

Suivi sous le nom CVE-2024-53104, le défaut zero-day a été décrit comme un problème de haute gravité affectant le pilote USB Video Class (UVC) du noyau Android.

Quelle est la vulnérabilité ?

Cette vulnérabilité est un défaut de sécurité d’escalade de privilèges dans le pilote USB Video Class d’Android, qui, s’il est exploité, peut permettre à un attaquant authentifié d’élever ses privilèges lors d’attaques de faible complexité sur des appareils ciblés.

Le défaut zero-day réside dans la fonction uvc_parse_format. Un parsing incorrect des trames de type UVC_VS_UNDEFINED peut entraîner un calcul erroné de la taille du tampon des trames.

Cela peut conduire à des écritures hors limites puisque les trames de ce type n’étaient pas prises en compte lors du calcul de la taille du tampon des trames dans uvc_parse_streaming.

Cela peut potentiellement permettre aux attaquants d’exécuter du code arbitraire sur un téléphone Android vulnérable ou de déclencher des conditions de déni de service.

« Dans le noyau Linux, la vulnérabilité suivante a été résolue : media : uvcvideo : Ignorer le parsing des trames de type UVC_VS_UNDEFINED dans uvc_parse_format. Cela peut entraîner des écritures hors limites puisque les trames de ce type n’étaient pas prises en compte lors du calcul de la taille du tampon des trames dans uvc_parse_streaming », indique l’avis.

« Il y a des indications que CVE-2024-36971 pourrait être sous exploitation ciblée limitée », a noté le géant de la recherche dans son avis mensuel de sécurité Android de février 2025.

De plus, Google a traité un défaut de sécurité critique, CVE-2024-45569 (score CVSS de 9,8), dans le composant WLAN de Qualcomm. Qualcomm déclare que ce défaut est un problème de corruption de mémoire causé par une validation incorrecte de l’index du tableau dans la communication hôte WLAN lors du parsing de l’IE ML en raison d’un contenu de trame invalide. **

Correctifs publiés

Google a publié deux ensembles de correctifs, les niveaux de correctifs de sécurité 2025-02-01 et 2025-02-05, dans le cadre des mises à jour de sécurité de février 2025.

Alors que les appareils Google Pixel reçoivent immédiatement les mises à jour de sécurité, d’autres fabricants peuvent connaître des retards en raison des tests supplémentaires nécessaires pour garantir que les correctifs de sécurité sont compatibles avec diverses configurations matérielles.

Par conséquent, il est fortement conseillé aux utilisateurs d’Android d’installer les niveaux de correctifs de sécurité 2025-02-01 et 2025-02-05 dès que possible pour protéger leurs appareils et eux-mêmes contre des menaces de sécurité majeures.