Google corrige une vulnérabilité de type zero-day dans les appareils Android

Google a annoncé lundi ses correctifs de sécurité d’août 2024, qui traitent 46 vulnérabilités, y compris une faille critique de type zero-day affectant le noyau Android qui était activement exploitée dans des attaques ciblées.

Clement Lecigne, un chercheur en sécurité du groupe d’analyse des menaces (TAG) de Google, a été crédité de la découverte et du signalement de la vulnérabilité zero-day dans les appareils Android.

Suivie sous le nom CVE-2024-36971, la faille zero-day a été décrite comme un problème de haute gravité impactant le noyau, qui peut être exploité pour une exécution de code à distance (RCE) avec « des privilèges d’exécution système nécessaires ».

Table des matières

• Quelle est la vulnérabilité ?
• Correctifs publiés

Quelle est la vulnérabilité ?

Cette faille est une vulnérabilité de type use-after-free (UAF) dans la gestion des routes réseau du noyau Linux, qui permet aux attaquants de manipuler la mémoire libérée, entraînant un comportement aléatoire et souvent des conséquences malveillantes.

« Il y a des indications que CVE-2024-36971 pourrait être sous une exploitation ciblée limitée », a noté le géant de la recherche dans son avis de sécurité Android d’août 2024. Les acteurs de la menace pourraient potentiellement l’utiliser pour exécuter du code arbitraire sans interaction de l’utilisateur sur des appareils non corrigés.

Bien que Google n’ait pas divulgué de détails sur l’exploitation ou les acteurs de la menace derrière les attaques, il est connu que les chercheurs en sécurité de TAG identifient et divulguent souvent des zero-days utilisés dans des attaques de logiciels de surveillance parrainées par l’État, ciblant des individus de haut profil.

Correctifs publiés

Google a publié deux ensembles de correctifs, les niveaux de correctifs de sécurité 2024-08-01 et 2024-08-05, dans le cadre des mises à jour de sécurité d’août 2024.

Dans le niveau de correctif de sécurité initial 2024-08-01, le cadre Android a été corrigé avec 13 vulnérabilités de haute gravité, dont 11 sont des élévations de privilèges (EoP), une divulgation d’informations (ID) et un déni de service (DoS). De plus, une vulnérabilité de haute gravité (CVE-2024-34727) dans le composant Système a également été traitée.

De plus, le deuxième ensemble de correctifs, qui est le niveau de correctif de sécurité 2024-08-05, comprend des corrections pour 32 vulnérabilités, y compris le noyau

(1), les composants Arm (2), Imagination Technologies (1), les composants MediaTek (1), les composants Qualcomm (20) et les composants propriétaires Qualcomm (7), qui incluent une vulnérabilité critique (CVE-2024-23350).

L’avis explique : « Les correctifs du code source pour ces problèmes seront publiés dans le dépôt du projet Android Open Source (AOSP) dans les 48 heures. »

Alors que les appareils Google Pixel reçoivent des mises à jour de sécurité immédiates, d’autres fabricants d’appareils peuvent avoir un retard dans le déploiement des mises à jour en raison de la nécessité de tests supplémentaires des correctifs de sécurité pour garantir la compatibilité à travers diverses configurations matérielles.

Il est donc fortement recommandé que les utilisateurs d’Android appliquent les niveaux de correctifs de sécurité 2024-08-01 et 2024-08-05 dès que possible pour protéger leurs appareils et eux-mêmes contre des risques de sécurité significatifs.

Plus tôt cette année, Google a corrigé une vulnérabilité zero-day de haute gravité, étiquetée comme CVE-2024-32896, qui a été décrite comme une faille d’élévation de privilèges (EoP) dans le firmware Pixel.