Google publie un correctif de sécurité Android pour une vulnérabilité de haute gravité

Google a identifié et corrigé une vulnérabilité critique de type zero-day dans son système d’exploitation Android qui est activement exploitée dans la nature.

La vulnérabilité de haute gravité suivie sous le nom de CVE-2024-32896 (score CVSS : 7.8) est classée comme une faille d’élévation de privilèges (EoP) de haute gravité dans le firmware Pixel.

Une vulnérabilité d’élévation de privilèges se produit lorsqu’un utilisateur ou une application avec des privilèges inférieurs accède à des fonctions ou à du contenu généralement réservés aux utilisateurs ou aux applications avec des privilèges supérieurs. Si elle est exploitée, un attaquant peut effectuer des actions telles que le vol de données ou l’installation de logiciels malveillants.

La CVE-2024-32896 est liée à une erreur logique dans le composant du framework Android, ce qui pourrait entraîner une élévation locale des privilèges sans qu’aucun privilège d’exécution supplémentaire ne soit nécessaire, indique la description du bogue dans la base de données nationale des vulnérabilités (NVD) du NIST.

Cependant, une interaction de l’utilisateur est nécessaire pour exploiter cette vulnérabilité.

Cette vulnérabilité a été signalée pour la première fois dans la mise à jour de sécurité Pixel de juin lorsque un correctif a été publié uniquement pour la gamme Pixel détenue par Google. Cependant, l’impact de la faille CVE-2024-32896 n’est pas limité aux appareils Pixel et inclut l’ensemble de l’écosystème Android.

« Il y a des indications que la CVE-2024-32896 pourrait être sous exploitation ciblée limitée », a écrit Google dans son Bulletin de sécurité Android de septembre 2024.

Comme d’habitude, Google n’a pas fourni d’informations techniques sur la façon dont la vulnérabilité est exploitée dans la nature.

Pour se protéger contre les exploits potentiels, il est fortement recommandé à tous les utilisateurs d’Android d’installer immédiatement les mises à jour de sécurité sur leurs appareils.

Pour installer les dernières mises à jour de sécurité, allez dans Paramètres > Système > Mises à jour logicielles > Mise à jour du système.

Alternativement, vous pouvez aller dans Paramètres > Sécurité et confidentialité > Système et mises à jour > Mise à jour de sécurité et cliquer sur le bouton « Vérifier les mises à jour ».

En plus de la vulnérabilité CVE-2024-32896, Google a également corrigé neuf autres failles de haute gravité affectant le framework et le système Android dans la mise à jour de sécurité de septembre 2024.